Sundhedsplatformen på kant med loven: Regioner skal i kritiske forhandlinger med Epic efter Schrems II-dom

Man må gå ud fra at de vil anonymisere data....

Man kan godt se fidusen ved at samle den slags data og der vil være store penge at tjene på det. Det er faktisk noget af det man taler om i forbindelse med EU-projektet GAIA-X som startede i 2019.

Man må gå ud fra at de vil anonymisere data....

Epics topchef har jo været meget åben om, at hun gerne vil/har søsat initiativer om, at skabe et verdensomspændende net, hvor alle verdens sundhedsdata er samlet ét sted.

Med andre ord – høste så mange af kundernes gratis data, som muligt, kunne man sige:

25.09.18: https://www.version2.dk/artikel/epic-ceo-vil-samle-hele-verdens-sundhedsdata-sted-siloerne-skal-vaek-1086310

Så gu’ ved, hvor meget de har nået at spejle/gafle allerede?

Ja, absolut. Hvis NNIT kan supportere det med deres danske eller tjekkiske medarbejdere, så er der jo ingen problemer. Vi skal bare ikke have deres kinesiske folk på, så er den jo gal igen :-)

EPIC har jo i forevejen brugt NNIT som underleverandør, så hvorfor ikke lade NNIT eller en anden samarbejdspartner i EU håndtere supporten på EPICs kunder i EU. Så er problemet ligesom løst....

Men en se-adgang bliver af Datatilsynet sidestillet med en videregivelse/overførsel af data.</p>
<p>OK. Det er jo tydeligt tåbeligt, så lige der kan man jo gøre nogen indsigelser (mod tåbelig lovgivning).

Det er derfor at en del systemer, har funktioner til at skjule/forvanske følsomme data, når de overføres til test.

Denne problemstilling er årtier gammel.

I sjældne tilfælde kræver det så kompetente folk for at reproducerer fejlen i de ændrede data.

Tjaeh - det er da en ønskværdighed situation. Det er bare ikke sådan deres lov er skruet sammen eller sådan at det foregår i virkeligheden :(

Igen: det KAN løses

Jep, ved at Amerikanerne (alle over en kam) acceptere at hvis de ønsker at vide noget om en EU borger, så sker det via myndighederne i EU.

Så hvis en amerikansk myndighed vil vide noget om fx mig, så må de kontakte FE eller politiet.

Hvis FE eller politiet ikke vil hjælpe, så må den Amerikanske myndighed acceptere at deres forespørgelse ikke har gang på jorden.

OK. Det er jo tydeligt tåbeligt, så lige der kan man jo gøre nogen indsigelser (mod tåbelig lovgivning). Desuden så kan der jo oprettes sager hvor der godkendes adgang til specifikke (person)data med henblik på konkrete fejl undersøgelser. I sådant tilfælde er adgangen jo 'under kontrol' og begrænset - og der kan principielt indhentes tilladelse...</p>
<p>Igen: det KAN løses

Jeg vil nu ikke mene, der er tåbelig lovgivning. Og heller ikke, at det kan løses, indtil at USA ikke ændrer deres lovgivning som overvåger alle og enhver.

Og nej, sådanne sager hvor der oprettes adgang til specifik persondata er stadig ikke lovlige, så nej, det kan IKKE løses.

Det er simpelt: Hvis du ønsker, at en europæisk borgers persondata overføres til USA i klartekst (dvs enten gøres tilgængeligt i klartekst til en amerikansk instans, eller gemme data i datacentre i USA, el.lign.), så må du opgive dit ønske. Det kommer ikke til at ske, fordi USA ikke overholder nogle meget basale dataetiske normer.

»Et af kravene kan være, at vi vil bede dem om at rette henvendelse til os øjeblikkeligt, hvis de amerikanske myndigheder henvender sig til Epic for at få data udleveret, eller hvis de opdager, at amerikanske myndigheder prøver at få adgang til oplysninger på en anden måde,« siger Anna Olga Aaskilde Laursen

Ja, det er ønsketænkning. NSA beder en cloud-leverandør om at udlevere data, hvilket er ensbetydende med at de har brug for de data (eller burde det i hvert fald være), som igen er ensbetydende med at de ikke ønsker at andre bliver bekendt med, at de har brug for disse data. Ergo: Hvis NSA spørger om data, må virksomheden bare føje sig og klappe i.

Så er der derudover de overvågningsprogrammer, som gør, at data automatisk støvsuges i kablerne, når data når over atlanten til USA.

Skal EPIC så også kræve af NSA, at NSA siger besked, hvis de har støvsuget data, hvilket sker automatisk? Ønsketænkning.

Og ja... så er der selvfølgelig problemet med at dem fra EPIC alligevel ikke må se data, uanset om de så sidder i EU med en EU-købt PC og på en EU-administreret internetforbindelse med EU-mænd lige ved siden af, inde i EU-kommissærens kontor i Bruxelles... det kommer ikke til at ske! Det er follow-the-money-princippet, og så længe mennesker kan huske informationer, må ingen US-ansat person eller system brugt af US-ansatte personer få adgang til EU-borgeres persondata i klartekst.

Men en se-adgang bliver af Datatilsynet sidestillet med en videregivelse/overførsel af data.

OK. Det er jo tydeligt tåbeligt, så lige der kan man jo gøre nogen indsigelser (mod tåbelig lovgivning). Desuden så kan der jo oprettes sager hvor der godkendes adgang til specifikke (person)data med henblik på konkrete fejl undersøgelser. I sådant tilfælde er adgangen jo 'under kontrol' og begrænset - og der kan principielt indhentes tilladelse...

Igen: det KAN løses

Ja, det er ikke lokationen der er afgørende, det er hvem der kan gribe fat i data, som gør udslaget. Amerikanske firmaer skal udlevere data de råder over, til myndighederne i USA.

Den eneste løsningsmodel der kan holde de amerikanske selskaber inde i varmen i EU, er hvis selskaberne overlader deres software til EU-selskaber som drifter løsningen i sikre data centre. De amerikanske selskaber må så opkræve licens-afgift.

Der kan ikke laves nogen form for aftale der forhindrer dataoverførsler til USA (eller andre tredjelande), så det skal man ikke sidde og vente på.

Det er fjernadgang til produktionsmiljøet.

Men en se-adgang bliver af Datatilsynet sidestillet med en videregivelse/overførsel af data.

Som jeg forstår det, så er det til produktionsmiljøet, for med sikkerhed at kunne replicere fejlen.

Det har ikke noget placeringen af serveren at gøre. Det er netop fjernadgangen der er problemet. Ved fjernadgang overføres data (til USA).

Men selvom EPIC så lavede et europæisk supportcenter - så er det stadig et amerikansk selskab. Og derfor må FISA vel kræve data udleveret der har været på deres PC'ere?! Eller hvor går grænsen?

Hvad er det for konkrete situationer der kræver at data sendes til USA?? Eller rettere - hvad kan de gøre i USA som de ikke også kan gøre via fjernadgang til et testmiljø i et dansk datacenter???

Det er det alle vi andre gør....

Der snakkes meget om GDPR og det er naturligvis fordi den fylder meget for os alle sammen, så lad os lige gå et skridt tilbage.

GDPR er en slags juridisk manifestation af EU's charter om grundlæggende rettigheder for borgere i EU. Den er fra 2000 og Danmark har naturligvis tiltrådt den. Det er artikel 7 og 8 (se nedenfor) som man skal forholde sig til.

Uanset om vi har GDPR eller gyldige aftaler i stil med Privacy Shield, så kan man ikke lovligt sende data til et tredjeland, hvis man ved at borgernes data ikke er lige så godt beskyttet som de er i EU.

Med andre ord, så har Sundhedsplatformen været i strid med EUs charter fra dag ét, da den amerikanske lovgivning, som er den formelle årsag til problemet (forøvrigt lavet af Joe Biden midt i 90'erne) har været i kraft siden oktober 2001.

(Og loven har ikke været hemmelig på noget tidspunkt siden.)

EUs charter:

Artikel 7: Respekt for privatliv og familieliv Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation.

Artikel 8: Beskyttelse af personoplysninger

1. Enhver har ret til beskyttelse af personoplysninger, der vedrører ham/hende.
2. Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsamlede oplysninger, der vedrører ham/hende, og til berigtigelse heraf.
3. Overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.

at hente de data, de har tænkt sig, uanset hvor de befinder sig - og uanset hvad EU i øvrigt synes og mener om det ?

Hvis de data er dårligt beskyttet, jo. Hvis de er beskyttet middelmådigt, er der en opdagelsesrisiko, hvis data er godt beskyttet tænker jeg at NSA ikke tør forsøge at tilgå data, da opdagelsesrisiko er meget høj.

at hente de data, de har tænkt sig, uanset hvor de befinder sig - og uanset hvad EU i øvrigt synes og mener om det ? Men selvfølgelig skal vi da markere vores territorium - for et syns skyld - for meget mere bliver det vist næppe til.

Jo EPIC må gerne fortælle dette, med mindre myndighederne også har en "gag ordre" med. Med en "gag ordre" bliver det ulovligt for EPIC at fortælle om en udlevering af data til myndighederne.

Yeah right, er rimelig sikker på de ikke må oplyse, hvis NSA har bedt om at få udleveret data. De kan sikkert få en sag på nakken om de har "obstructed justice".

Tænk at man overfører biometriske eller personfølsomme data til et land udenfor EU for at udføre support. At supporteren skal kunne læse disse data i klartekst for at kunne supportere et system og at hverken dataejer eller systemejer kan se det er et problem?

Det tænker jeg burde trykprøves af Datatilsynet!