Organisationer frygter cloud-kaos: Staten skal finde erstatning for Privacy Shield

Organisationer frygter cloud-kaos: Staten skal finde erstatning for Privacy Shield
Illustration: Nanna Skytte.
En bred skare af danske organisationer frygter for konsekvenserne af den såkaldte Schrems II-dom, der kan få afgørende betydning for fremtidens brug af cloud-tjenester. Flere kræver, at staten skal anvise en brugbar løsning.
25. november 2020 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En særdeles sprængfarlig bombe tikker for tiden under både organisationer, myndigheder og dansk erhvervsliv. Med afsæt i den såkaldte Schrems II-dom og en række vejledninger til tredjelandsoverførsler fra Det Europæiske Databeskyttelsesråd (EDPB) fra november i år trækker det op til, at mange skal revurdere deres brug af cloud-tjenester.

Anbefalingerne fra EDPB, der udspringer af den såkaldte Schrems II-dom, har taget livet af Privacy Shield-ordningen, og det gør en række danske organisationer særdeles nervøse for deres egen fremtidige brug af amerikanske cloud-tjenester såsom Office 365, Zoom, Google Analytics.

Nervøsiteten kommer til udtryk i en række høringssvar til den nationale evaluering af GDPR, som Version2 har fået aktindsigt i.

Her lufter flere af organisationerne deres bekymringer for, at der pludselig lander endnu en massiv og måske endda uoverkommelig opgave i deres favn, når de skal til at genbesøge deres cloud-setup.

»Da kommunerne som følge af dommen ikke længere kan anvende den såkaldte "Privacy Shield" ordning som gyldigt overførselsgrundlag for overførsler af data til USA, skal alle kommunerne til hver især at indgå supplere standardkontraktaftaler med deres leverandører,« skriver KL i sit høringssvar og uddyber bekymringen:

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
34
2. december 2020 kl. 08:26

iflg. "edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf" så skriver de "Use Case 6: Transfer to cloud services providers or other processors which require access to data in the clear"

I så tilfælde er det "infringing" - dvs. omfattet af GDPR - og dvs. disk kryptering er ikke godt nok - da data jo så kan tilgås og læses "in the clear" af sysadmin(s).

Ikke at det svarer på hvor Claus har fået det citat fra (hvis det er et citat :)

32
30. november 2020 kl. 08:42

Du skal så blot være indforstået med, at du ikke kan få round-the-sun support; altså at der ikke fejlsøges i døgndrift, men kun i åbningstiden i din geografi.

Det gælder så kun den servicering der sker på baggrund af kundens kontakt. Hvis MS selv opdager en fejl/problem/potentiel problem i de dybereliggende lag af teknologistakken så er påvirker dette ikke MS's valg af hvem der får adgang til mine data.

Det er vigtige at huske at hvis storage teknikeren roder med den fysiske eller logiske disk (eller en del af en) som indeholder kundens persondata så betragtes det som adgang til persondata også selv om data yderligere er krypteret. Kryptering og fragmentering af data er formildende omstændigheder, men er stadig behandling af persondata.

31
28. november 2020 kl. 20:42

Undskyld mig, men har vi ikke lige opdaget at FE har serveret danskernes data på et sølvfad til NSA, mener ikke at hverken det offentlige eller andre danske hosting selskaber er specielt meget bedre til at passe på vores data, end feks AWS, uanset hvilken teknologi de kører.

30
28. november 2020 kl. 20:30

Du tror ikke, at hvis alle servere var baseret på linux så ville der være mere fokus fra hackernes side mht. At finde huller?

29
27. november 2020 kl. 10:07

... det kommer bare til at koste lidt mere.

For det første er det værd at konstatere at ingen europæisk cloud provider kan levere tilnærmelsesvis samme antal services som de store amerikanske. Specielt ifbm. COVID-19 krisen har værdien af Microsofts Office 365 platform gjort at mange virksomheder helt uden den store indsats har kunnet skalere op på hjemmearbejde. Jeg er stadigvæk benovet over hvordan Office 365 kunne skalere op i løbet af uger til at håndtere mange flere brugere, mange flere videomøder, mere storage, etc.

Problemet omkring amerikansk lovgining og europæisk privacy er reelt. Det nytter ikke noget at en amerikansk domstol kan kræve adgang til data som ikke har andet med USA at gøre end at det forefindes på amerikansk ejede servere.

Jeg kan se to løsninger:

  1. Google, Amazon, Microsoft udskiller og sælger ejerskabet og driften af europæiske datacentre. På den måde vil det være europæiske selskaber der ejer data og står for den daglige drift. Kontraken mellem kunden og cloud-provideren foregår stadigvæk mellem den europæiske kunde og den amerikanske virksomhed.
  2. Et eller flere europæiske lande laver lovgivning der gør det strafbart for ansatte at hjælpe til at udlevere data til ikke EU lande. Et europæisk amerikansk ejet datacenter vil således være styret af europæere. Hvis der kommer en ordre om udlevering fra HQ kan de ansatte blot sige at de ikke må følge den fordi det overtræder lovgivning.

I praksis er situationen ikke meget anderledes end at en amerikansk virksomhed godt kan bede danske ansatte om at hælde gift i kloakken. Men en dansk ansat må ikke følge denne ordre.

Begge scenarier ovenfor vil kræve en del "untangling" af cloudproviderens setup og det vil koste penge. Jeg er også ganske sikker på at EU personel er dyrere end personel man kan finde udenfor. Det kommer vi til at betale for, men det er nok ikke det helt store.

28
26. november 2020 kl. 09:54

I min optik sker uønsket brug af mine data hovedsageligt hos Facebook og Google/Alphabet, samt den underskov af firmaer, som lever af at profilere os og videresælge den viden.

Det kan/bør jeg kunne undgå. Jeg har feks. valgt Facebook fra.

Men jeg kan ikke undgå at mine data registreres i kommunen, eller undgå at gå ud at handle. Så selvfølgelig skal de sikre at mine data ikke spredes.

Men det er pointe i sig selv, at meget information går til Google etc. Går man ind for at købe en højttaler, prismærket til kr. 249,-, så koster den 249,- + alle de personlige data, der kan suges ud gennem browseren. Det burde også være muligt at undgå. Principielt er det falsk markedsføring, og skulle kunne straffes, men jeg tror aldrig at det kommer til at ske.

Så selv om jeg ikke er uenig i din analyse, så må det være relevant at begynde med at sikre de data, som bliver tvangsindsamlet af os allesammen.

Det er svært at argumentere for at feks. avisernes "gratis" hjemmesider skal passe på vores data, hvis stat og kommuner bare kan gå efter billigste hyldemeter.

27
26. november 2020 kl. 09:21

@Michael

Udfordringen er at AWS og andre firmaer let kan tvinges til at udlevere deres Kunders data, uanset hvor Kundens data fysisk befinder sig.

@Johnny - Enig. Udforingen er blot, at hele diskussionen her ikke rigtig løser noget.

Mange elsker at hade Microsoft - fred være med det. I min optik sker uønsket brug af mine data hovedsageligt hos Facebook og Google/Alphabet, samt den underskov af firmaer, som lever af at profilere os og videresælge den viden. Dét vil jeg gerne have stoppet helt og aldeles.

26
26. november 2020 kl. 09:00

Det er irrelevant. Det handler også om at teknikere i USA mfl. fejlsøger på problemer hvor EU borgers data indgår.

@Claus - Det er alene et kontrakt spørgsmål. Microsoft (og de fleste andre hyperscale leverandører) tilbyder kontrakter, hvor du kan begrænse supporten til EU-residerende supportere.

Du skal så blot være indforstået med, at du ikke kan få round-the-sun support; altså at der ikke fejlsøges i døgndrift, men kun i åbningstiden i din geografi.

Support 'inde i din løsning' sker via boxing ... du skal selv give supporteren adgang, så kontraktligt og praktisk er der styr på den slags.

25
26. november 2020 kl. 03:18

#8: Eller som en formulering, jeg en gang har hørt: "Det strider jo mod loven, så det kan vi ikke forestille os, at man vil gøre."

24
25. november 2020 kl. 21:46

Udfordringen er at AWS og andre firmaer let kan tvinges til at udlevere deres Kunders data, uanset hvor Kundens data fysisk befinder sig.

23
25. november 2020 kl. 20:24

For en del år siden, blev min mors hjemmeside hacket - hun havde siden hos web10 på windows platform. De fik blandt andet adgang til hendes koder og passwords til emails. Jeg havde en hjemmeside på Linux platformen samme sted - ingen problem med hacking, trods jeg anvendte cgi'er. Er Windows egnet til servere? Jeg har tvivl.

22
25. november 2020 kl. 19:33

Er der nogen der ved, hvor Sundhedsplatformen er hosted?

Sundhedsplatformen er hosted i Danmark, men EPIC har adgang fra USA, hvilket er en tredjelandsoverførsel af personoplysninger. Overførselsgrundlaget (GDPR kapitel V) er standardkontraktbestemmelser (SCC), og efter Schrems II dommen er Region Hovedstaden nødt til at vurdere, om der er tilstrækkelige garantier, herunder behovet for nye supplerende garantier, til at denne overførsel kan fortsætte.

Det er selvsagt ikke nok at Region Hovedstaden som KL bare beder regeringen fixe problemet, for det kan regeringen ikke.

Det franske datatilsyn (CNIL) har efter Schrem-dommen forlangt at sundhedsdata ikke deles via en centraliseret hub, hvor amerikanske myndigheder kan få adgang til dem (se dette tweet).

20
25. november 2020 kl. 17:10

Hvis du interesserer dig for hvilke data der bliver sendt til USA fra Microsofts forskellige services så er det dokumenteret på feltniveau og offentligt tilgængeligt. Du kan læse mere om Microsoft og GDPR her: <a href="https://www.microsoft.com/da-dk/trust-center/privacy/gdpr-overview">htt…;
<p>Disclaimer: Jeg arbejder ikke og har aldrig arbejdet for Microsoft 1 0

Programmer indstalleret under operativsystemet kan også sende data ud - jeg tror alle har oplevet, at have noget spyware installeret.

For mange år siden scannede Microsoft harddisken, og sendte katalogoversigten af sted til Microsoft support. Det holdte de op med.

Jeg er i tvivl om, hvorvidt at browserne kan angribes - f.eks. facebook, yahoo, google, youtube og mange andre services, kan dele oplysninger med 3.parts websider. Jeg betragter altid browseren som kompromiteret, hvis jeg går ind på en anden webside, og stadigt er logget på en af tjenesterne. Det er ikke nemt at vide, hvad de kan trikke ud, når man er logget på med navn og password.

Det nytter ikke meget, at Microsoft laver flotte dokumenter, når de lader enhver anden overvåge computeren uden advarsel. Uanset om Microsoft overvåger, så er PC'en noget af det mest overvågede og usikre datamæssigt, som er skabt.

19
25. november 2020 kl. 16:40

Den seneste Schrems II dom er frygtindgydende for enhver udveksling af EU-persondata med selskaber udenfor EU ... og altså ikke kun de store it-mastodonter.

EU har tidligere tilkendegivet, at 'overførsel' også dækker 'kigge-adgang' så det må være ALT der er omfattet, ellers giver det ikke rigtig nogen mening.

... går man linen ud, så er konsekvensen, at du som EU selskab skal sikre dig at dine ikke-EU partnere ikke ser eller på anden måde behandler europæiske persondata uden at du på forhånd har foretaget en tilbundsgående analyse at sikkerheden i det pågældende land ... det gælder for alle slags selskaber ... tag den!

Velbekomme, mon det var hensigten med lovgivningen?

18
25. november 2020 kl. 16:30

Et problem ved windows 10 er alt det spion halloj som Microsoft har lagt i Windows, man aner ikke hvilken data som bliver sent til USA.

Jeg tror det vil gavne debatten, hvis du fremlægger konkrete beviser for dine påstande om spion halløj. Jeg vil meget gerne se noget konkret.

Hvis du interesserer dig for hvilke data der bliver sendt til USA fra Microsofts forskellige services så er det dokumenteret på feltniveau og offentligt tilgængeligt. Du kan læse mere om Microsoft og GDPR her: https://www.microsoft.com/da-dk/trust-center/privacy/gdpr-overview

Disclaimer: Jeg arbejder ikke og har aldrig arbejdet for Microsoft

17
25. november 2020 kl. 15:45

Ja, men med adgang for Epic fra USA...

Så jf. nedenstående, sandsynligvis non-compliant.

Databeskyttelsesrådet er »ude af stand til at forestille sig en effektiv teknisk foranstaltning for at forhindre, at adgangen krænker den registreredes rettigheder,

14
25. november 2020 kl. 13:04

...”staten må finde en løsning”. Nej! I valgte med pengepungen så i burde kunne finde en anden løsning for de penge i ha sparet!

13
25. november 2020 kl. 12:58

at USA vil snage i vore oplysninger til såvel sikkerhedsmæssigt, som kommercielt brug, og vi har ikke magt til at forhindre dem i det.

Nok så meget juristeri og diplomati, kan ikke ændre den kendsgerning.

Drop at lægge følsomme data i hænderne på amerikanske firmaer, og kom videre.

12
25. november 2020 kl. 12:19

Er der nogen der ved, hvor Sundhedsplatformen er hosted?

11
25. november 2020 kl. 12:03

Amerikansk lov skal ændres. Ellers kommer der en Schrems 3 og 4...

Anbefaling: Meld dig ind i https://noyb.eu/

10
25. november 2020 kl. 12:00

Der kan komme en positiv ting ud af det her, nemlig at de Cloud tjenester der fremover bygges kan migreres.

Og kan en service migreres, så kan hostingen også konkurrence udsættes, udfordres på CO2 o.s.v.

9
25. november 2020 kl. 11:23

Og generelt anbefaler jeg at man, hvis man alligevel har lokal hosting - har et lokalt kubernetes cluster (eller system configuration såsom Puppet) med 100% automatisering/procedurer for recovery/flyt af systemer - og ligeledes har et Kubernetes setup hos f.ex. Hetzner - så man kan benytte den samme driftskompetance begge steder.

Jeg har også opsat EKS (Amazon Kubernetes) og GKE - og det er IKKE plug'n'play - hvis du vil have at nogen rent faktisk tager et driftsansvar for dine services. Mange anvender Open Source Ansible "opskrifter" - der understøtter at opsætte Kubernetes clustre hos både de store cloud udbydere, og hos hetzner og på eget jern. Man kan også sagtens bruge f.ex. Puppet mv. til lokalt/hetzner setup (og på vm instanser).

Kubernetes er ved at være industri-standarden på at gøre drift "så nemt som muligt" - uanset hvor det fysisk befinder sig - hvorfor også stortset ALLE cloud udbydere tilbyder det.

8
25. november 2020 kl. 11:21

men nu kommer jeg altså til at grine råt og ubehersket.

“Staten skal finde erstatning for Privacy Shield”,

Datasikkerhed har vist ikke lige vist sig som kernekompetance (eller et væsentligt intetesseområde) hér, så mon ikke det ender med det sædvanlige mantra: “- men vi skal også blive bedre til...”

Og med god grund.

6
25. november 2020 kl. 10:54

Havde det ikke været så bøvlet at sætte en linux / Unix LDAP eller NIS dømæne op, så er det vel muligt at man kunne migrerer fra Active Directory til Linux / Unix LDAP / NIS domæne. Men, når man tænker på hvor hurtigt og nemt det er at sætte Windows Domain Controller, så er da nemt at forstå hvorfor der ikke findes mange linux LDAP / NIS domæner op.

Et problem ved windows 10 er alt det spion halloj som Microsoft har lagt i Windows, man aner ikke hvilken data som bliver sent til USA.

5
25. november 2020 kl. 10:27

Er der nogen som ved mere om juraen og dommen end mig, som kan fortælle om det er nok f.eks. at sætte ens AWS instans til kun at blive hosted i Irland eller Tyskland? If so, ser jeg som udvikler ikke de store problemer. Der er sikkert masser af SaaS som skal give det som en option hvor i verden instanserne skal ligge, men det (famous last words) bør heller ikke være svært.

Synes der er lidt forvirring i lægmand forståelsen af denne dom - og jeg tilstår da gerne jeg ikke sat mig specielt meget ind i den, men måske netop derfor er min forståelse og forvirring nok meget lig med lægmands.

Hvor går skellet:

  • Må jeg bruge amerikanske produkter? Hvis nej, så er office / windows ude (selvfølgelig må jeg det)
  • Må jeg bruge amerikanske produkter hosted på amerikanske servere? Nej
  • Må jeg bruge amerikanske produkter hosted på amerikanske cloud udbyderes datacentre i EU? Ja? Nej?
  • Må jeg bruge danske / europæiske produkter hosted på amerikanske cloud udbyderes datacentre i EU? Ja? Nej?

Som relativt udeforstående i denne sag, tænker jeg det er så simpelt som at få svaret på ovenstående og sende det ud som en guide tilført lidt fodnoter og legal-mumbo-jumbo.

Nogen som kan gøre mig klogere?

4
25. november 2020 kl. 10:19

EU/EDPB går meget op i at data om borgeren er borgerens ejendom og myndighederne kun har borgernes data i forvaltning.

Ja denne virkelighed har svært ved at trænge igennem til den offentlige forvaltning her i landet. Der er - og har altid været - en opfattelse af at stat eller kommune kan bruge oplysninger om borgerne efter forgodtbefindende.

Jeg forudser at der vil blive udvist ekstremt meget juridisk kreativitet med at tilpasse reglerne så i al fald det offentlige får frit lejde til brug af USA'nske tjenester. Eller at man reelt bare ignorerer GDPR (som med telelogningen).

Den samme fleksibilitet får vi nok ikke i det private erhvervsliv.

3
25. november 2020 kl. 09:57

EU/EDPB går meget op i at data om borgeren er borgerens ejendom og myndighederne kun har borgernes data i forvaltning.

Derfor kræver EU/EDPB at den dataansvarlige forstår hvilke forhold der gør sig gældende og at udgangspunktet skal være, at data om eu borgere skal være underlagt love som er svarende til EU's love.

Da USA's love ikke er svarende til EU's love må der i udgangspunktet ikke ske databehandling af persondata om EU borgere i USA.

Derfor er følgende udtalelse helt til grin:

I forhold til USA opfordrer kommunerne til, at staten presser på for, at der i EU-regi aftales en ny ordning med USA til erstatning for Privacy Shield ordningen, således at kommunerne ikke skal anvende ressourcer på at indgå supplerende standardkontrakter ved overførsler til USA

2
25. november 2020 kl. 09:46

Med de mange it-kyndige, der læser Version 2, tænker jeg, om der er nogle iblandt os, der benytter sig af europæiske cloud-tjenester, som de kan dele ud af deres erfaringer med?

Der er nogle stykker i Tyskland, bl.a. kører Office 365 for i et rent tysk datacenter. Cloud er dejlig fluffy begreb som i realiteten bare dækker for outsourcing så afh. af hvad du behøver så kan du komme meget tæt på selv i Danmark: IAAS kan f.eks. leveres af flere store leverandører, TDC drev på et tidspunkt egen Office 365 - hvorvidt de gør det fortsat ved jeg ikke.

Problemet var lidt at DK priser gjorde lokale løsninger dyrere end udenlandske med dommen bliver prisen ikke længere den vigtigste parameter, nu bliver det lokationen og ejerskabet - hvilket kan blive godt for dansk IT branche - hvis de da ellers kan få fingeren ud af r#vhullet og komme i gang!

1
25. november 2020 kl. 09:20

Med de mange it-kyndige, der læser Version 2, tænker jeg, om der er nogle iblandt os, der benytter sig af europæiske cloud-tjenester, som de kan dele ud af deres erfaringer med?