Myndigheder famler i blinde efter EU’s cloud-bombe

28. maj 2021 kl. 05:0016
Myndigheder famler i blinde efter EU’s cloud-bombe
Illustration: Simon Väth.
En enkelt dom ved EU-Domstolen har lagt en bombe under it-setuppet i det offentlige Danmark.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

It-organisationer over hele Europa har hovedpine, og de har haft det i næsten et år. Den østrigske aktivist Max Schrems fik 16. juli sidste år EU-Domstolen til at erklære USA for et såkaldt usikkert tredjeland, hvilket betyder, at det som udgangspunkt er ulovligt at overføre europæeres persondata til amerikanske virksomheder.

Helt lavpraktisk har det trukket tæppet væk under de danske myndigheder og virksomheders brug af den it-infrastruktur fra blandt andet Microsoft, Google og AWS, der driver mange af deres systemer.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
16 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
29. juli 2021 kl. 18:08

Nu er jeg ikke indsat i detaljerne om amerikansk lovgivning på dette punkt, men min forståelse er at de kan pålægges at udlevere data som befinder sig på deres systemer

Det er helt korrekt, det sker ved hemmelige kendelse i hemmelige domstole, og man kan få det helt dårligt af at læse hvor slemt det er, f.eks. :

"In 2013, a top-secret order issued by the court, which was later leaked to the media from documents culled by Edward Snowden, required a subsidiary of Verizon to provide a daily, on-going feed of all call detail records – including those for domestic calls – to the NSA"

https://en.m.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court

15
31. maj 2021 kl. 11:42

Det er alt software fra US og andre lande med samme (delvis ukendte) indflydelse på deres firmaer, som er et problem. Og hvordan ved vi at systemer lavet som OS / Shareware / Freeware ikke bliver påtrykt samme indflydelse (udover canaries) ?

14
31. maj 2021 kl. 11:06

Hvis en FISA afgørelse pålægger MS at indsætte en bagdør i Skattevæsnets ansattes PCere sådan at NSA kan se alt hvad de ansatte foretager sig, inkl. GDPR data om borgere, er det vel også et GDPR problem.</p>
<p>

Nu er jeg ikke indsat i detaljerne om amerikansk lovgivning på dette punkt, men min forståelse er at de kan pålægges at udlevere data som befinder sig på deres systemer, ikke at modificere eksisterende software til at indfange data.

At det så er meget muligt de gør det alligevel er så noget andet. Jeg mindes at USA blev snuppet i at intercepte leverancer fra Cisco og installere modificeret firmware, ligesom kineserne gjorde det samme på udstyr fra Supermicro (https://www.version2.dk/artikel/norsk-ministerium-skrotter-udstyr-efter-spionafsloering-1086430)

13
28. maj 2021 kl. 14:59

Hvorfor er det egentlig ikke et problem at det offentlige bruger MS Windows kommer jeg til at tænke på?

Hvis en FISA afgørelse pålægger MS at indsætte en bagdør i Skattevæsnets ansattes PCere sådan at NSA kan se alt hvad de ansatte foretager sig, inkl. GDPR data om borgere, er det vel også et GDPR problem.

Kunne man ikke med GDPR og Schrems II i hånden argumentere for at offentlige ansatte ikke må bruge MS Windows, Active Directory, Office365, VMware mv. med præcis den samme argumentation som for AWS, GCP, Azure?

Og går det offentlige først for alvor fuldstændigt i stå.

Eller er argumentet at det kunne USA aldrig finde på? (Jeg kan næsten høre Snowden tage et dybt suk ovre i Rusland...)

10
28. maj 2021 kl. 11:15

Jeg tror det er nødvendigt for vores politikere og os alle sammen at erkende, at i en digital verden, hvor data flyder på tværs af landegrænser, og hvor mange lande forsøger at sætte regler for deres borgere og virksomheder er det reelt ikke muligt for staten at give specifikke retsgarantier til sine borgere.....

9
28. maj 2021 kl. 11:12

Lidt pinlig udtalelse, når nu enhver, der har sat sig ind i tingene, ved, at tiltaget er utilstrækkeligt.

Hans pointe var, at Microsoft skal have ros for at gøre alt det, de gør. Og ja, helt uvæsentligt er det ikke, at MS prøver at anfægte alle FISA-anmodninger osv. Derudover er MS hovedargument at der er plads til en risikobaseret tilgang, dvs kort: Risiko for en eller anden hacker snupper data er ringe, da MS har god sikkerhed, mens risiko for at NSA ser dine data er lidt større. Så MS ser det "lesser evil" her som værende at NSA ser dine data.

Men korrekt nok, så holder dette ikke helt. Der er stadig et overgreb fra amerikansk side på vores grundlæggende rettigheder. Og så længe vi ikke har ret til at anfægte FISA-anmodninger selv (i FISA-court), så er dette ikke legitimt og foreneligt med EU-lovgivning.

Men at MS prøver at gå imod den lovgivning, de selv er underlagt, og derved inspirere andre leverandører, og derved sammen presser på i amerikansk regering om at ændre lovgivning til at give USA den stærke IT-position tilbage inkl. EU-kunderne, er det som Henrik Udson mener er positivt.

Men ærlig talt er jeg træt af at de store virksomheder som MS og Amazon ikke bare siger det som det er, og prøver at legitimisere deres services...

Og at se Ole Kjeldsen gang på gang ligne en, som tror på alt som MS fortæller ham, i stedet for at tale en ærlig og faktuelt dialog omkring emnet, er ret pinligt...

7
28. maj 2021 kl. 10:42

Er det ikke mere et spørgsmål om at definere hvad de ansatte må bruge f.eks teams til?

F.eks at det er nogo at skrive beskeder om privat personer (navn, cpr, og alle de slags oplysninger) / nogo at holde online møder hvor de ting diskuteres.

Men derfor kan f.eks it afdelingen da f.eks godt holde online teams møder, hvor det udelukkende er rent tekniske ting der snakkes om, hvor det intet har med borgeres private oplysninger at gøre?

Eller HR afdelingen, der tager et teams møde, om hvilken kaffe der nu skal være i kaffe automaterne, eller lign. uskyldige ting.

Synes det er sat lidt sort/hvid op, men GDPR gælder selvf. også de ansatte, her (privat virksomhed), bruger vi nu stadig teams ovs.

Men, i'm not a lawyer. Men personligt kan jeg ikke se noget problem i de bruger de systemer, så længe de ikke sidder og sender data om borgere rundt / holder møder hvor der snakkes om specifike borgere, det er muligt de ikke må ifølge GDPR ovs, men mener mere at jeg som person ikke ville have et problem hvis det var som ovenstående^^ :)

6
28. maj 2021 kl. 10:33

Henrik Udsen, professor i it-ret ved Københavns Universitet, ser det på denne måde:</p>
<p>»Jeg synes, Microsoft skal have ros, hvis jeg har forstået initiativet rigtigt. Man kan sagtens forestille sig, at det vil få nogen af de andre store spillere til at bevæge sig. Samtidig kan initiativet godt give den tanke, at Microsoft ikke selv er helt overbevist om, at deres nuværende løsning lever op til forordningen.«

Lidt pinlig udtalelse, når nu enhver, der har sat sig ind i tingene, ved, at tiltaget er utilstrækkeligt.

5
28. maj 2021 kl. 10:19

Hvis ejerne er amerikanske ..

Det er det jeg mener med uafhængigt - det skal ejes af en fond eller en virksomhed, der så igen betaler det amerikanske selskab for at bruge softwaren på serverene. Man kunne også lade virksomhedens ejere bestå af nye aktie investorer i den nye EU virksomhed.

Klart nok hjælper det ikke hvis det er samme ejerkreds.

4
28. maj 2021 kl. 10:10

vælger at oprette et helt uafhængigt i EU registreret selskab

Man kan ikke "oprette et helt uafhængigt selskab". Et selskab har per definition ejere. Hvis ejerne er amerikanske, er selskabet underlagt CLOUD act, uagtet om selskabet er oprettet i EU.

Den eneste gangbare løsningsmodel, så længe amerikanske politikere insisterer på ikke at give EU-borgere rettigheder, er, at Microsoft giver deres partnere mulighed for at køre deres cloud på partnerejet cloud-hardware uden nogen form for opkobling til en amerikansk-ejet central infrastruktur.

3
28. maj 2021 kl. 09:53

Det er sikkert fint at data gemmes i EU, men har bare ingen indflydelse på om en amerikansk FISA domstol kan få fat i data, så Schrems centrale pointe består fuldstændigt som før også efter disse time nye løfter.

.. med mindre virksomheden i USA vælger at oprette et helt uafhængigt i EU registreret selskab til at eje og drifte disse servere. Den virksomhed vil så være underlagt EU lovgivningen.

Mon ikke det bliver udfaldet af dommen på sigt.

2
28. maj 2021 kl. 08:41

Er der nogen, der kan henvise mig til en afgørelse fra Datatilsynet omkring anvendelse af amerikanske virksomheder som databehandler? Mig bekendt har Datatilsynet primært henvist til anbefalingerne fra Det Europæiske Databeskyttelsesråd, som ikke er kommet i en endelig udgave endnu.

1
28. maj 2021 kl. 07:08

Den anden vinkel er jo at Max Schrems blot har været med til at gøre det krystalklart for enhver at som det er nu, er data gemt hos et amerikansk selskab ikke kompatibelt med EU lovgivning.

Og kunne vi venligst permanent begrave den seneste tids forsøg fra Microsoft og Amazon på at sminke liget ved at garantere at data gemmes på servere i EU? Det er sikkert fint at data gemmes i EU, men har bare ingen indflydelse på om en amerikansk FISA domstol kan få fat i data, så Schrems centrale pointe består fuldstændigt som før også efter disse time nye løfter.