Microsoft i Schrems II-debat: Kan ikke garantere, at danskeres data bliver i EU

Microsoft i Schrems II-debat: Kan ikke garantere, at danskeres data bliver i EU
Illustration: Simon Väth.
På Version2’s Infosecuritykonference var fire talere samlet på den store scene for at diskuterer efterspillet af Schrems II-afgørelsen. Hvad betyder dommen for Danmarks kærlighed til Microsoft, når den amerikanske lovgivning fortsat er problematisk?
12. oktober 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

»Jeg tror kun, man kan garantere skat og død – og man diskuterer stadig skat.«

Sådan svarer Ole Kjeldsen, Teknologi- og Sikkerhedsdirektør hos Microsoft Danmark, da han under årets Infosecurity-konference bliver spurgt, om han kan garantere, at EU-borgeres data ikke ender i USA, når den behandles hos tech-giganten.

Svaret kommer fra konferencens største scene, hvor direktøren står på række ved siden af Helle Uldbæk Sørensen, databeskyttelsesrådgiver hos Statens It, Anna Olga Aaskilde Laursen, CISO hos Region Hovedstaden, og Allan Frank, it-sikkerhedsspecialist og jurist ved Datatilsynet.

Ole Kjeldsen, Teknologi- og Sikkerhedsdirektør hos Microsoft Danmark

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
38
13. oktober 2021 kl. 14:33

"Microsoft i Schrems II-debat: Kan ikke garantere, at danskeres data bliver i EU"

Det jo ikke ligefrem fordi man er overrasket... Jeg kan garantere at det ikke bliver i EU jeg kan ligefrem love det bare vent og se....

37
13. oktober 2021 kl. 12:47

NextCloud can også integrere mail og kalender

Jeg har aldrig rigtig forstået denne forhippelse på at mail og kalender skal være integreret i et og samme program.

Jeg kan sagtens se rationalet i at en indgående mail med et kalender attachment kan overføre oplysningerne til et kalender program og et kalenderprogram kan fyre op under maildelen - men det drejer sig primært om parameteroverførsel, ikke at programmerne skal være sovset sammen til et stort program.

Den anden del jeg synes kikser fælt er den anden side af integrationen - meget få (findes der nogen) mailprogrammer kan stikke snablen ned i en MySql (Maria, PostGre, whatever) database, hvor man f.eks. i stedet håndterer adresser fra et CRM system af en art (nu kan man jo snart ikke mere have et CRM pga. GDPR, men det er så en anden diskussion).

Tilsvarende er hele dokumenthåndteringen håbløs - der gemmes tonsvis af tekstbehandlings filer fra sagssystemer, i stedet for at selve data gemmes i en database, eksempelvis oceaner af enslydende breve til forskellige modtager, etc, etc.

Imo virker hele mail(og tekst)paradigmet meget altmodish (herunder også min kæphest om at mailudveksling i det 21' århundrede burde foregå som challenge-response), og man bliver ved med at lægge lag på lag på en løsning der er dårlig som udgangspunkt.

33
13. oktober 2021 kl. 11:56

https://www.libreoffice.org/download/libreoffice-in-business/ <- link til flere udbydere der tilbyder browserudgaver af office tilsvarende produkter.

Og selv anvender vi mattermost (open source chat - i stil med teams) og til streaming der der jitsi.org (hvor man så kan hoste sin egen bridge - så streamen kører hos en selv i stedet hvis man vil) - der er også masser af cloud selskaber der har en vejledning til hvordan man sætter sin egen jitsi (streaming) løsning op og kører hos dem - og der er også udbydere af hosted jitsi med support osv.

Jeg kender ikke til nogen der tilbyder en samlet løsning med det hele i (som jeg kan forstå office365 er) .. det var måske et marked for nogen ?

32
13. oktober 2021 kl. 11:52

Ole fra MIcrosoft sagde faktisk også på scenen på infosecurity konf - at microsoft jo kiggede (ligesom alle andre) på om EU kunderne faktisk forsvinder pga. SCHREMS II/GDPR.. og om det kan betale sig for dem at løse problemet. Han påstod også at Microsft VIL oprette et europæisk firma - som man kan hoste hos, for netop at løse dette - med KUN europæisk boende medarbejdere..

Så de forventer åbenbart at komme med en rigtig løsning på problemet.

I den forbindelse, hvor det europæiske datterselskab er ejet af det amerikanske, udtalte (en på scenen) at hvis NSA sender en anmodning til direktøren for det europæiske - at denne så lovligt KAN sige at det er i konflikt med europæisk lovgivning og at denne derfor kan undlade at følge NSA (og dermed overholde europæisk lovgivning, uden at det amerikanske firma får problemer).

31
13. oktober 2021 kl. 11:49

https://kolabnow.com/ <- hosted.. vi bruger selv opensource kolab i vores firma.. Delte foldersupport til fælles indbakker, kalender deling og alle de ting som jeg normalt selv har skullet bruge hos de store firmaer..

30
13. oktober 2021 kl. 11:14

FBI forsøgte at tvinge Microsoft til at udlevere informationer fra en Microsoft Office 365 konto som hørte hjemme i Irland.

Microsoft sagde noget i retning af: "Nej, kontoen findes hos i et datterselskab som hører hjemme i Irland. I (FBI) kan henvende jer dér, men de skal følge Irsk lovgivning og vil afvise jer. Hvis I kan dokumentere jeres mistanke kan I gå gennem en international retskendelse".

Underforstået (og meget rimeligt) er Microsofts kalkyle, at det ville kunne svække tilliden til Microsoft hvis de bare udleverer informationer på tværs af landegrænser uden kamp.

FBI mente imidlertid, at siden Microsoft USA ejer, og fuldt ud kontrollerer, datterselskabet i Irland, så måtte Microsoft USA da kunne udstede en ordre til Microsoft Irland. om at udlevere data til Microsoft USA som så kunne udlevere til FBI. What's the problem?

Problemet var selvfølgelig stadig, at dét havde Microsoft ikke lyst til at blive kendt for. Så de sagde stadig NEJ med henvisning til at så ville de stadig bryde Irsk lov (og EU dataforordning). Sue us!

Det gjorde FBI så; sagsøgte Microsoft. Google, Apple og andre tech-giganter med lignende problemer støttede op om Microsoft. Sagen påkaldte sig dog lidt for meget opmærksomhed, og man må også antage, at tech-giganternes lobbyister også har arbejdet over.

Vurderingerne var, at FBI meget vel kunne tabe sagen. Hvis FBI vandt ville ikke bare Microsoft, men også Amazon, Google etc kunne vinke farvel til en hel del sky-omsætning. Der var altså dollars - mange dollars - på spil. Og dollars det er noget amerikanske politikere (og lobbyister) forstår.

Så I stedet for at gennemføre retssagen, så vedtog (sikkert med lobby-hjælp) den amerikanske kongres den såkaldte CLOUD Act, og den orange mand underskrev den.

CLOUD act er et kompromis, som giver tech-udbydere mulighedfor at sige "nej" når en begæring om udlevering af informationer vil bryde lokal lovgivning. Det var nok for FBI i den konkrete sag, for vurderingen er, at EU lovgivning kun beskytter EU-borgeres data. Med den nye lov i hånden, må man forvente, at FBI har fået udleveret data fra den pågældende konto, da den tilhørte en amerikansk bosiddende amerikansk statsborger.

FBI kan altså ikke uden en international retskendelse få udleveret data om en EU-borger fra en EU-baseret server som ejes af et EU-registreret selskab, fx Microsoft Irland.

Der er mange grunde til at være skeptiske overfor tech-giganterne, ikke mindst med hensyn til skattebetaling, sporing, profilopbygning, markedsføring.

Men her er Microsoft eller de andre tech-giganter altså ikke skurkene. Det er ikke i Microsofts, Google, Apples eller Amazons interesse at blive kendt for, at udlevere deres kunders data! Med CLOUD Act har de faktisk fået mulighed for at sige nej.

Problemet der står tilbage efter Screms II og CLOUD Act er den hemmelige amerikanske FISA (Foreign Intelligence Surveillance Act) domstol med de hemmelige FISA kendelser. På grund af al hemmeligheden omkring domstolen og kendelserne så véd vi faktisk ikke hvad de får udleveret hvorfra, men der er et vink i at F'et står for "Foreign".

Det er FISA som Screms II hentyder til. Tech-giganterne hører hjemme i en nation hvor de kan pålægges - med hemmelige kendelser - at udføre hemmelige handlinger eller udlevere data når nogle hemmelige kriterier er opfyldt. Og de skal holde det hemmeligt. Vi véd ikke hvad domstolen udsteder kendelser på, vi véd kun at de er ret gavmilde, idet de fleste begæringer om kendelser imødekommes.

Det er altså ikke et problem som Microsoft, Google, Amazon, Apple m.fl. kan løse. Det er et politisk/traktat problem mellem USA og EU. Selvfølgelig kan det ende med, at vi ikke kan bruge amerikanske virksomheders cloud-løsninger.

Men der er ret meget beskidt vasketøj, også i EU. Fx så har europæiske efterretningstjenester også en interesse i, at kunne tilgå data. Så meget, at der i meget lovgivning er skåret undtagelser ud til efterretningstjenesterne.

Derfor er Microsofts udmelding her meget ærlig: Data opbevaret i skyen er juridisk (CLOUD Act) sikret mod udlevering ad almindelige kanaler, hvis sky-udbyderen sørger for, at skyen håndteres i et EU datterselskab. FBI eller andre 3. landes politimyndigheder kan ikke bare få udleveres EU-borgeres data. Der findes et system med internationale retskendelser, hvor de med dokumenteret begrundet mistanke kan få det udleveret. Men her er borgerens retssikkerhed garanteret af domstolene.

Problemet er, at vi ikke véd hvad CIA/FBI og andre efterretningstjenester kan få FISA domstolen til at pålægge virksomhederne. Det gælder i øvrigt også EU-virksomheder som har datterselskaber i USA, de kan formentlig også pålægges at udlevere data. Hvis vi havde lidt indsigt i retspraksis for FISA domstolen kunne det måske hjælpe. Men retspraksis er hemmelig.

28
13. oktober 2021 kl. 08:52

Og man skal huske på, at man som dataansvarlig stadig har ansvaret, selv om man har outsourcet databehandlingen. Problemet er måske bare lidt, at der ikke er nok konsekvens, for nogle dataansvarlige.

Spot on.

Så længe Datatilsynet nægter at håndhæve GDPR når det gælder de amerikanske firmaer, så vil ulovlighederne fortsætte.

Efter mange års etisk og moralsk forfald på det persondatamæssige område, kan vi nu tilføje lovløshed.

Der findes et begreb der hedder SCAD - State Crimes Against Democracy. Er det hvad vi ser?

27
13. oktober 2021 kl. 08:34

Man ender naturligvis altid et sted hvor man skal vælge at stole på at leverandøren gør det, de siger - også på dette område. Hvis man ikke gør det, så skal man jo nok vælge en anden. Hvis man kan finde en.

Nu skriver jeg ikke noget om at stole på leverandørene. Jeg går ikke med sølvpapirshat, men er belastet af erfaring. Hvis du tror at hovedparten af kunder forstår begreber som databehandling og har en forståelse sourcing så tager du fejl. Problemet er ikke løgn og misinformation, fra leverandør side, men inkompetente beslutningstagere på kundesiden, som for at være helt ærlig, er fløjtende lige glade med dine og mine data, selv om måske endda er deres job at passe på dem. Det har ingen konsekvens for dem at ignorere GDPR, og det er gavnligt for dem at få en short term på papiret besparelse.

// Jesper

26
13. oktober 2021 kl. 07:48

Microsoft forsøger at adressere netop dette problem med deres EU Data Boundary projekt, hvor pointen netop er at al databehandling sker i EU af medarbejdere placeret i EU

plausible deniability. Det er meget fint at den normale dag til dag drift at det europæiske center foretages fra europa. Men der er helt sikkert nogle specialister fra USA der har adgang til serverne i det tilfælde at sjældne problemer skulle opstå. De folk vil kunne flytte data ud af EU. Det er ikke sikkert at folkene i EU har helt styr over hvad de kan fra USA. Hvad vil du gøre hvis du er ansat i et europæsisk center, og du kan se at der er noget opsætning der muligvis vil gøre det muligt at hente data ud?

Men du kan ikke bevise noget konkret, hvis du råber op bliver du fyret, miskrediteret, truet med retssager etc.

Bagdøren kan også ligge i intern program kode der er blevet patchet fra USA, Ken Thomson style (reflections on trusting trust).

25
13. oktober 2021 kl. 07:19

“Det er måske ikke bøden, der er det relevante. Det er det, at man får en frist til at fikse det problem, man måtte være i besiddelse af. Det kunne være en bedre løsning også for Kongeriget Danmark, end at man begynder at kræve penge ind.”

Siden hvornår har det virket bare at give en frist på dette område?

Jeg ved at der pt. er en meget stor offentlig uddannelses institution der er igang med at migrerer over til MS og ikke omvendt, på trods af at de er fuldt ud bevidste om GDPR, Schrems osv. De hænger netop “hatten” op på “eksperter” som Allan Frank som garant for MS eller var det Datatilsynet?!?

Det er da godt nok ubehageligt at høre. Faktisk rystende, men alligevel ikke overraskende. Hvor er whistlebloweren, der afslører dette?

Allan Frank flytter jo bare rundt på sine argumenter efter for godt befindende. Forleden var argumentet, at man ikke bare kan lade være med at tro på firmaerne, hvis de lover at overholde europæisk lovgivning. Så må man pænt afvente og se, om de alligevel sender f.eks. børns data videre - og først der må man så handle, og pænt bede dem om at holde op med det (Hø! - så er det jo lissom for sent, ikke? Som Ipsych og Melby, som allerede -ulovligt - har givet tusindvis af danske sundhedsdata videre til amerikanske firmaer - og de kan ikke hentes tilbage. Og er de blevet straffet med andet end et symbolsk klap over fingrene?)

Nu, når så f. eks. Laursen åbent undergraver Franks argumenter ved at sige, at de dataansvarlige udmærket er klare over, at firmaerne ikke er til at stole på, så tilføjer han pludseligt et krav mere: Dataansvarlig skal vurdere, om det nu er så sandsynligt, at USA finder på at bede om data. Og hvis dataansvarlig vurderer (subjektiv elastik i kilometermål), at det ikke er sandsynligt, ja, så er der ingen ko på isen, og man kan ganske roligt lade firmaerne få dataene.

HØ! igen!

Mener Frank i ramme alvor, at de enkelte dataansvarlige rundt om i landet subjektivt skal gøre sig kloge på, om det nu er sandsynligt, at NSA kunne finde på at interessere sig for deres data? Det er jo det rene idioti. Hvordan skulle de kunne vurdere det? Min subjektive vurdering af det spørgsmål over en kam er, at Snowden klart og tydeligt har vist, at NSA interesserer sig for alt, og ønsker alle data - også dem, som for os andre er helt uforståelige at interessere sig for.

Så kan nogen dataansvarlig med god samvittighed og af et ærligt hjerte konkludere, at lige præcis hans/hendes betroede data vil NSA aldrig bede om? NEJ! Det er en idiotisk tanke, selv om Microsoft-manden har travlt med at bakke op om den. Selvfølgelig har de travlt med det! Ellers er de jo på r....., ikke?

Og Microsoft-manden lover jo absolut heller ikke noget - tvært imod siger han, at han ikke vil love noget. Hvad vil du gøre ved det, Frank? For det undergraver jo direkte din og Datatilsynets vejledning om, at dataansvarlige bare kan vælge at tro på firmaernes løfter, ikke? Hvad så, når Microsoft ikke vil love noget? Ikke godt. Faktisk rigtigt skidt.

Men så er det jo, man lige kan tilføje den ekstra betingelse, at hvis man ikke i sin vildeste fantasi kan forestille sig, at NSA eller USA vil bede om data - ja, så er alle problemer og forbehold væk. Hokus Pokus. Og så kan dataansvarlige jo vælge at være fantasiløse....

Ærgerligt, at Microsoft-manden ikke blev spurgt direkte, om Microsoft vil overholde europæisk eller amerikansk lov. Har den institution, som Rune Hansen nævner ovenfor, mon husket at spørge Micrsoft - skriftligt, selvfølgelig - om de vil love ikke at udlevere data efter amerikansk lov?

I øvrigt: Hvorfor er det kun dataansvarliges ansvar, der tales om hele tiden? NÅR (jeg skriver med vilje "når", og ikke "hvis") tehcfimaerne så afsløres i alligevel at give data videre, hvorfor falder hammeren så ikke meget tungt over dem efter europæisk lov? For i så fald har de jo helt uden tilladelse stjålet og misbrugt følsomme persondata , som de udtrykkeligt har fået besked på, at de ikke måtte videregive. Så hvis de gør det alligevel - amerikansk lov eller ej - så er de storforbrydere efter europæisk lov. Så hvad er straframmen? Tør nogen sætte dem på anklagebænken for alvor?

24
13. oktober 2021 kl. 06:57

Microsoft forsøger at adressere netop dette problem med deres EU Data Boundary projekt, hvor pointen netop er at al databehandling sker i EU af medarbejdere placeret i EU. Så support, drift, konsulent osv. bliver IKKE leveret fra USA, Indien eller andre lande.

Man ender naturligvis altid et sted hvor man skal vælge at stole på at leverandøren gør det, de siger - også på dette område. Hvis man ikke gør det, så skal man jo nok vælge en anden. Hvis man kan finde en.

23
13. oktober 2021 kl. 00:38

Jeg ved godt at det er en afsporing af debatten..

Hvad er jeres erfaring med at drifte jeres egen løsning? Min erfaring er at på overfladen kan det en del af det som Microsoft kan, men spætten skal ikke hamre meget på stammen før den falder med et brag.

Jeg bruger en LDAP(S) server til at binde single sign on sammen. Til mail server bruger jeg bla. Postfix, Dovecot, Pigeonhole, OpenDKIM, SpamAssassin, Roundcube, samt en del andre programmer. Jeg har også en NextCloud server som køre på nginx, og har afhængigheder til en del php, og mariadb. Det hele er fordelt over en række FreeBSD jails, hvor et af dem køre en reverse nginx proxy, således at jeg kan splitte fra flere subdomains til en WAN adresse, og ud på flere jails. (Jails der er exponeret har samme FQDN på begge sider af firewall)

Thunderbird kan fint håndtere mail, kalendere, adresse lister etc, men den kan ikke se det som én bruger konto. Det betyder at der skal oprettes en bruger profil, indtastes password etc. for at sende mail (SMTP submission), modtage mail (IMAP), kalender (CalDav), og adresse liste. Og pga. begrænsninger i IMAP, så skal man endelig ikke ændre navnet på en mail folder, idet der ikke er nogen permanent id på folderen, hvilket betyder at så kan sivie ikke længe håndtere mail rules.

I Outlook logger man på en gang, så ved den hvilke email konti, kalendere, adresse lister du har adgang til.

NextCloud can også integrere mail og kalender, men der er lidt samme problem da det blot er en dum mail client. Dvs. de credentials man er logget ind med i NextCloud, skal indtastes i mail konfigurationen.

Min konklusion er at de nuværende open source løsninger ikke er et godt nok alternativ til amerikansk clould.

JMAP adresserer nogle af mine kritik punkter: https://jmap.io/index.html

Jeg er dog ikke sikker på at der er nogen god implementation på vej.

22
13. oktober 2021 kl. 00:33

Jeg vil tro at amerikanske leverandører som MS, Apple og selv Redhat har mulighed for at påvirke supply chain, så de kan lave en software opdatering som åbner for NSA. De kan sikkert også gøre det målrettet en specifik licens.

Kan GDPR overholdes på systemer med software der har en supply chain som styrres af en amerikansk virksomhed?

21
12. oktober 2021 kl. 22:45

Elefanten i rummet, som alle paneldeltagerne taler uden om, er jo at enormt mange af de multinationale leverandører har en Global delivery model. Altså at de forskellige dele af den løsning, det være sig cloud eller anden form for hosting, bliver driftet fra et globalt drift leverance center, som enten tilhørere leverandøren eller en af dennes underleverandører eller leverandørens underleverandørs underleverandør... Og drift betyder som regel en eller anden for for priviligeret adgang.

Så du kan sagtens forstille dig at have alting fysisk i Danmark, bag lås og slå, men hvor Hardware drives fra Asien, Virtualizeringen fra Afrika, OS fra sydamerika, netværk fra ... etc. etc.

Og at dette faktisk sker ikke nødvendigvis fremgår tydelig i en underskov af kontrakter, OLA'er mv.

Og man skal huske på, at man som dataansvarlig stadig har ansvaret, selv om man har outsourcet databehandlingen. Problemet er måske bare lidt, at der ikke er nok konsekvens, for nogle dataansvarlige.

// Jesper

20
12. oktober 2021 kl. 21:26

Men for at dreje debatten tilbage igen.

Allan Frank benytter mange antagelser, som eks.: “Det er måske ikke bøden, der er det relevante. Det er det, at man får en frist til at fikse det problem, man måtte være i besiddelse af. Det kunne være en bedre løsning også for Kongeriget Danmark, end at man begynder at kræve penge ind.” Eller “man kommer og siger til Datatilsynet: ‘Yes – vi har set, at det her er et problem. Vi arbejder på det. Vi prøver at fikse det på den her måde”

Jeg ved at der pt. er en meget stor offentlig uddannelses institution der er igang med at migrerer over til MS og ikke omvendt, på trods af at de er fuldt ud bevidste om GDPR, Schrems osv. De hænger netop “hatten” op på “eksperter” som Allan Frank som garant for MS eller var det Datatilsynet?!?

19
12. oktober 2021 kl. 21:15

Prøv lige og skriv til dem (bare på engelsk) for en sikkerhedskyld, ang. videochat og eks. Collabora Office delen, om ikke godtnok de er med. Samt mulighed for at skalere ud over de 10TB, hvis du får behov for det.</p>
<p>Dem jeg har henvist benytter hverken Talk eller online dokument redigering.

Lidt graven i deres guides og dokumentation afslører at det "kun" er NextCloud Files der tilbydes. Omend de ikke begrænser administratoren i at tilføje andre apps, så understøtter de det ikke og kan ikke hjælpe hvis der er problemer. Hvilket også betyder de ikke har de nødvendige backend systemer på plads til at understøtte NextCloud Groupware.

Så jeg er lidt tilbage til mit oprindelige spørgsmål, hvor går en mindre virksomhed der ønsker en kollaborativ platform hen hvis ikke Microsoft/Google/Amazon. En ting er vi basher dem for ikke at gøre det, men hvis der ikke er nogen reelle alternativer er det bare så meget sværere...

18
12. oktober 2021 kl. 21:14

Er du sikker? For jeg kan intet finde omkring Groupware eller Talk hos Hetzner, sammen med det at det ligger produktmæssigt sorteret som en storage-løsning...

Hos Hetzner skal du enten have deres Storage som nævnt, men det er uden Talk eller installere det selv. Du skal bruge både Sprede back end og en coturn server oven i Nextcloud-serveren. Dertil kommer måske en Collabora-server. Det er ikke så svært, men skal man have supporterede løsninger koster det lidt. (Men stadig billigere end MS!)

Jeg kan anbefale owncube.com og hosting.de. Der kan du få en god managed løsning med det hele, hvis du ikke vil selv.

17
12. oktober 2021 kl. 21:05

Prøv lige og skriv til dem (bare på engelsk) for en sikkerhedskyld, ang. videochat og eks. Collabora Office delen, om ikke godtnok de er med. Samt mulighed for at skalere ud over de 10TB, hvis du får behov for det.

Dem jeg har henvist benytter hverken Talk eller online dokument redigering.

15
12. oktober 2021 kl. 20:53

Det er hele mollevitten. Jeg har anbefalt det til to bekendte, som ikke har de fornødne forudsætninger til selv at opsætte, patche og hoste Nextcloud. Men skal have noget der bare virker og kan konkurrere med og erstatte iCloud, Gsuit/drev, Office365/OneDrive og dropboks, hvor de havde spredt familiens filer og fotos ud over. Ind til nu har de kun været tilfredse.

Du slipper bare for at opdatere, lave hardning og tuning af Nextcloud selv, på egen server.

Men skriv lige til dem (Hetzner) for en sikkerhedskyld, ang. videochat og eks. Collabora Office delen, om ikke godtnok de er med. Samt mulighed for at skalere ud over de 10TB, hvis du får behov for det.

14
12. oktober 2021 kl. 20:34

Det er et “managed” Nextcloud setup hvor man kan få eks. 2TB storage for 11,78 EUR om måneden.

Er det hele molevitten (NextCloud Hub), eller "bare" fil-lagring (som navnet indikerer)?

Er det sidstnævnte, så er det ikke noget der kan træde i stedet for Microsoft 365, G Suite eller Amazon Workspace og det var det mit spørgsmål gik på, hvor går man som mindre virksomhed hen hvis man har brug for en kollaborativ platform (mail, kalender, chat, videomøder, fildeling med online redigeringsværktøjer osv.) og ikke har kompetencen til at drive det selv? Jeg er ikke i tvivl om at Statens IT der nævnes ovenfor sagtens ville kunne drive en NextCloud Hub løsning for offentlige instanser, men nu er det ikke alle der er i den størrelse...

13
12. oktober 2021 kl. 20:12

Løsningen er ligetil - forbyd brugen af Microsoft produkter, indtil de garanterer at Danske data bliver i Danmark - tilsvarende må tyske data gerne blive i Tyskland, så CO2 udledningen for opbevaring af tyske data ikke konteres på danskerne.

Libre Office er et godt alternativ, kræver lidt tilvending, men 95 % af dem der bruger MS Office kan sagtens klare sig med Libre Office, uden at savne funktionalitet.

12
12. oktober 2021 kl. 18:52

Det er et “managed” Nextcloud setup hvor man kan få eks. 2TB storage for 11,78 EUR om måneden.

10
12. oktober 2021 kl. 18:04

Det er dem, man burde kigge på, hvis man vil migrere sine tjenester og hosting til EU

Jeg syntes at der mangler en god sammenhængende opensorce løsning, som modsvare stort set det som microsoft/google kan. (tekstbehandling, regneark, mail, kalender, messenger, videomøder). Og med sammenhængende mener jeg både for bruger, og dem der skal drifte systemerne.

Der er 440 milioner indbyggere i EU, hvor en ikke uvæsentlig del bruger deres arbejdsdag med at arbejde ned ovenstående programmer. Hvis 10% arbejder fuldtid med denne type software, og hvis den opensource løsning man påtvinger brugerne ændre deres produktivitet med 1%, så svare det til 440 tusinde fuldtids stillinger.

Jeg mener at vi i Europa burde kunne financere en række sammenhængende opensource projekter som over 5år udmønter sig i en løsning som kan erstatte microsoft og googles løsninger inden for 'office programmer'. Man kan så selv vælge mellem om man vil drifte dem selv, eller få det hosted et sted i EU.

Man skal passe på men den slags udregninger, men der er potitentielt både en økonomisk og en privacy fordel i dette.

9
12. oktober 2021 kl. 15:54

...i regeringens Digitaliseringspartnerskabs rapport:"Visioner og anbefalinger til Danmark som et digitalt foregangsland"https://fm.dk/media/25213/visioner-og-anbefalinger-til-danmark-som-et-digitalt-foregangsland_digitaliseringspartnerskabet.pdf

Læg mærke til det omfattende afsnit om GDPR's rolle i disse visioner...(find Holger)

Læg så mærke til medlemslisten for Digitaliseringspartnerskabet:https://digst.dk/digital-transformation/regeringens-digitaliseringspartnerskab/

Microsoft er repræsenterede - og er altså med til at lægge linjen sammen med talrige andre erhvervsrepræsentanter, nemlig 18 ud af 28 medlemmer.

Ikke så mærkeligt, at det går trægt med at tage GDPR alvorligt herhjemme. Mere mærkeligt, at vore offentlige topfolk og politikere ligger sådan på maven for tech-toppen.

8
12. oktober 2021 kl. 13:57

Har selv undersøgt noget af markedet, og kan kun sige:</p>
<p>OVHCloud,
Open Telekom Cloud,
Hetzner,
NextCloud,
m.fl.
Det er dem, man burde kigge på, hvis man vil migrere sine tjenester og hosting til EU.

NextCloud tilbyder som de eneste på den liste tilnærmelsesvis et modsvar til Microsoft 365 platformen, men hvad jeg kan finde er der ingen hostere i DK til det produkt. Hvor går en mindre virksomhed hen som ønsker de muligheder der ligger i en integreret kollaborativ platform, men ikke har kompetencen eller pengepungen til at lave sådan noget selv?

7
12. oktober 2021 kl. 11:47

God ide!

Har selv undersøgt noget af markedet, og kan kun sige:

  • OVHCloud,
  • Open Telekom Cloud,
  • Hetzner,
  • NextCloud,
  • m.fl.

Det er dem, man burde kigge på, hvis man vil migrere sine tjenester og hosting til EU.

6
12. oktober 2021 kl. 11:17

Hvad med at Version2 beskæftiger sig lidt med eet eller flere reelle alternativer til Microsoft? Det kunne være en interessant vinkel. Kunne man drive det offentlige på noget linux og eventuelt en "private cloud"? Ja, det kunne man nok godt! Hvis Politiet i Frankrig kan, så kan vi nok også her i lille Dannevang.

5
12. oktober 2021 kl. 11:01

om ikke før, så siden.

Husk: “Magt giver ret”

Overalt - også i Danmark - og også i morgen.

“Piv” sagde minken etc. etc. etc.

4
12. oktober 2021 kl. 09:43

bare... suk... er der nogen der ved hvad vi kan gøre?

Er selv ansat i et privat firma, hvorjeg stadigvæk afventer info om virksomheden kan garantere, at mine og kundernes data ikke lækkes til USA. og jeg tror ikke de ved hvad de skal svare, da Microsoft bruges til alt

3
12. oktober 2021 kl. 09:16

end at trække stikket til Microsoft og hvad de ellers hedder – som nægter at overholde EU’s lov.

Før du brokker dig og forklarer en masse, så tænk igennem hvad alternativet i et demokratisk retssamfund til, at landet myndigheder og institutioner overholder loven?

Personligt tvivler jeg på at det kommer så vidt, når f.eks. Microsoft opdager at de rent faktisk bliver smidt ud, af ikke kun Danmark men hele EU, så skal der nok komme ”andre juridiske boller på suppen”.

Indtil da er Microsoft en profitoptimerende organisation som godt ved at det nogle gange kan betale sig at lade være med at overholde loven og i stedet synge en vise om ”blaaaa. Blaaaa. Blaaaaa.”

Men der sker ikke noget før katastrofen (for tech-giganterne) truer!

1
12. oktober 2021 kl. 07:36

"så bruger mange danske organisationer fortsat tech-gigantens programmer, og det er ikke noget, man bare kan »trække stikket på«, lød det fra Datatilsynet på scenen."

Så ved vi, hvor vi har dem...I lommen på tech-giganterne og deres håndlangere i det offentlige...

»Hvor man nu har fået trukket tæppet væk under sig med den her Schrems II-afgørelse, og man kommer og siger til Datatilsynet: ‘Yes – vi har set, at det her er et problem. Vi arbejder på det. Vi prøver at fikse det på den her måde, og vi er bundet af syv kontrakter – vi kan ikke bare trække stikket, for så er der ikke noget NemID, eller en anden infrastrukturkomponent i kongeriget Danmark, der holder op med at virke,’« siger Allan Frank til publikum og uddyber: »Det er måske ikke bøden, der er det relevante. Det er det, at man får en frist til at fikse det problem, man måtte være i besiddelse af. Det kunne være en bedre løsning også for Kongeriget Danmark, end at man begynder at kræve penge ind.«

Frist? Hvor mange års frist har man allerede haft til at finde løsninger? Hvor mange års frist vil Datatilsynet nu yderligere give, før man giver yderligere mange års frist til fortsat ikke at rette ind?

"Hver gang man anvender en ny public cloud-baseret software, laver regionen en tredjelandsanalyse for at undersøge risikoen, den amerikanske lovgivning introducerer. Den er stadig uændret, og derfor ville det også være virkelighedsfjernt, hvis Microsoft kunne garantere, at data aldrig nogensinde vil ende i USA, mener hun: »Hvis Microsoft kunne garantere det, så ville det bare vise, at de sådan set ikke har forstået noget som helst af den risiko, som Schrems II-dommen introducerer. Det er ikke et spørgsmål om, hvad Microsoft som firma kan garantere, det er et spørgsmål om lovgivningen i USA. Og den er I ikke herre over, tænker jeg,« siger hun, gestikulerer mod Ole Kjeldsen..."

Jamen, så er det jo slået fast: Enhver dataansvarlig, der hævder at tro på den slags garantier, må jo så også være enten totalt utroværdig og inkompetent, eller korrupt, eller totalt idiot - Ta' den, Allan Frank, der er vist ingen vej uden om, at Datatilsynet tager konsekvensen af dén analyse, og forbyder disse firmaer adgang til Danmark ift. alt, der indebærer persondata. Laursen undergraver jo hermed definitivt Franks argument om, at man ikke på forhånd kan gå ud fra, at firmaerne ikke vil overholde europæisk lov i stedet for amerikansk (gad vide, om hun har tænkt over dét, inden hun åbnede munden? For konklusionen er jo så, at Regionen ikke kan hævde, at de tror på firmaerne (Heller ikke EPIC) - og så må de lade helt være med at bruge dem til noget med persondata, i følge Datatilsynet. Og det må vel betyde, at regionen allerede har afskaffet/er ved at udfase alle disse programmer?)

Glimrende interview/diskussion, der klart og tydeligt viser elastik i mange, mange kilometermål, og som også tydeligt viser, at ingen i det offentlige, og da i hvert fald ikke i Datatilsynet, for alvor har i sinde at tage GDPR alvorligt. Microsoft lyder ikke til at føle sig det mindste truet. Alle er i tech-mafiaen, som både inkluderer tech-firmaerne og de offentlige myndigheder - enige om at samarbejde om at gå under radaren, trække tiden, parkere GDPR i en eller anden syltekrukke i al evighed, se gennem fingre osv.

Jeg forudser, at om 10-15-20-25 år sidder vi stadig i samme suppedas, for disse insitutioner er blevet advarede i mange år, og har alligevel fået lov - med fuldt og gustent overlæg - at indgå kontrakter, der binder dem - og de danske borgere - i mange år frem i tiden. Og det kan de nu bruge som undskyldning for ikke at overholde GDPR...

De har de sidste mange år handlet mod bedre vidende med Danmarks vitale infrastruktur, de har solgt os til tech-giganterne, - "Danmark er et Microsoft-land, sådan er det bare,« siger hun." . Det er også et Google-land og et Facebook-land og et Epic-land. Det eneste, det efterhånden ikke er, er et dansk åbent og transparent demokrati. Og det er det, jeg i årevis har kaldt en form for landsforræderi, og "nogen" bør stilles til ansvar for - mod bedre vidende (ellers er de idioter) - at have solgt alle os borgere til stangladkrids.

(PS: Kan EPIC og Sundhedsplatformen mon garantere, at de vil overholde europæisk lov, og ikke amerikansk, Laursen? Nå, det er sådan set ligemeget, vi (Region Hovedstaden) tror jo alligevel ikke på, hvad de garanterer, men vi fortsætter alligevel ufortrødent med Sundhedsplatformen - det er jo bare borgernes sundhedsdata, det handler om, ikke andet. Og dem vil vi jo alligevel gerne have lov at sælge/dele med hele verden - der er jo penge og karrierer i sundhedsdata. Og Datatilsynet lukker jo alligevel øjnene, selv om CISOen her indrømmer, at man ikke som dataansvarlig kan tage nogen som helst garantier alvorligt).