Microsoft: Regler for at hente data hos it-giganter er gammeldags

De globale it-giganter er tvunget til at behandle myndighedernes forespørgsel, alt efter hvilket land serveren står i, uanset hvor den mistænkte kommer fra.

Forestil dig en dansker, der bliver efterforsket for narkokriminalitet. Politiet vil gerne se, hvem han kommunikerer med gennem tjenester hos Microsoft, og beder derfor it-giganten om en liste over, hvem han kommunikerer med gennem Microsofts e-mail-tjeneste samt lov til at se indholdet af én af hans e-mails.

Politiet har sandsynligvis allerede oplysninger om, hvem han ringer og sms’er til, fra hans danske teleselskaber. De har pligt til at logge den slags oplysninger og udlevere dem mod dommerkendelse. It-giganterne opererer derimod efter andre og mere komplicerede regler.

Mht. indholdet af den ene mail, så må dansk politi henvende sig til politiet i Irland og bede om at få en dommerkendelse for at få den udleveret. Microsoft opbevarer nemlig e-mails fra europæiske kunder i et datacenter i Irland.

Og alle forespørgsler skal behandles efter reglerne i det land, hvor serveren står, uanset hvor mailen blev sendt fra og til, og hvilken nationalitet afsender og modtager har.

Men hvad angår listen over, hvem den mistænkte dansker har e-mailet med, så er der tale om metadata. Dem opbevarer Microsoft i USA. En sådan forespørgsel vil derfor blive behandlet efter amerikansk lovgivning, der i øvrigt – nøjagtig som i Danmark – giver relativt enkel adgang for myndighederne til den type data.

Skulle politiets forespørgsel også involvere den mistænkes Skype-­konto, så står serveren i Luxembourg, og Microsoft har endnu et lands lovgivning at tage hensyn til.

Det er således intet under, at Microsoft har outsourcet den praktiske behandling af forespørgsler fra myndighederne til et advokatfirma.

Reglerne bør opdateres

»Reglerne er ikke moderniseret til den digitale verden. Der er behov for en opdatering,« siger Anders Thomsen, der er direktør for politik og strategi hos Microsoft Danmark, med henvisning til, at det afgørende ikke er, om politiet efterforsker en dansker, men i hvilket datacenter materialet rent fysisk er lagret.

Microsoft førte en sag ved de amerikanske domstole, fordi de amerikanske myndigheder forsøgte at få indsigt i en mail, der var lagret i Irland. Den gik ikke. Konsekvensen af de gammeldags regler er i øvrigt, at Microsofts advokater selv foretager en juridisk vurdering af ønsket om at udlevere data.

Mens teleselskaberne hvert år udleverer data til politi og efterretningstjeneste på baggrund af tusindvis af dommerkendelser, så siger Microsoft nej i ca. 20 pct. af tilfældene. Det kan skyldes det juridiske grundlag, men også banale fejl i anmodningen, eller at det ikke er teknisk muligt at efterkomme den, oplyser Anders Thomsen.

I øvrigt skulle man tro, at Microsoft havde langt flere forespørgsler om materiale i Irland, hvor alle selskabets europæiske mails er gemt, end i andre europæiske lande. Det er imidlertid ikke tilfældet, viser selskabets såkaldte transparency report.

Irland og Luxembourg var dog de eneste europæiske lande, hvor Microsoft i andet halvår af 2016 udleverede indholdet af kundernes kommunikation. Det skete i alt fem gange. Til sammenligning skete det 445 gange i USA i samme periode.

EU’s nye persondataforordning, der træder i kraft om et år, vil ændre reglerne for, hvilke data it-giganterne skal indsamle fra deres kommunikationstjenester, og hvordan de skal give adgang til dem. Det står endnu ikke klart, hvad de praktiske konsekvenser bliver.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (0)

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017

Welcome to Free course to learn about the combined power of Alteryx and Qlik!

Affecto invites to a free course, where we want to share our knowledge of this self-service analysis platform together with the power of Qlik.
20. apr 2017

Robotics Process Automation (RPA) changes the way organizations think about and perform work at a reduced cost, higher efficiency and greater productivity

Join us for this exiting seminar, which Affecto hosts with our business partner SmartRPA May 3rd, 2017 at 13.00 in Copenhagen.
30. mar 2017