Ulovligt at gemme data om kunder eller medarbejdere på Google Drive

Har I prøvet EVO? EVO Synkroniserings program til Outlook, gmail, iOS m.m EVO kan prøves gratis i 3 dage. https://davoutlookinformationsteknologi.blogspot.com/search/label/google%20kalender god fornøjelse :)

Sorry, har lidt svært ved at navigere rundt i dette her; Betyder det så, at hvis vi hoster personfølsomme data på MS Azure cloud serverer i Irland (EU), at disse data pt ikke er sikret 100% beskyttelse fra US(NSA) snagen.... ?

Jeg kan anbefale Owncloud.

Hej Michael,

Det er også muligt at melde sig til som privat bruger, du kan læse mere her: https://next.keepit.com/home-user/

Hvad anbefaler I vi private bruger? Hvis det skal være nemt, og ikke ligger under for alt for meget overvågning osv? Jeg har en NAS i dag, men vil også gerne spare lidt strøm og nye diske osv, og lægge noget ud i skyen. Men jeg har ikke turde indtil videre.

("Hvad mener du med at der er en risiko? Vores data ligger jo i "clouden" !!)

Og hvad værre er, så forventer mange folk at der ikke er behov for at lave backup af ting som ligger i clouden.

Hvilket firma kunne dog drømme om at lægge kundedata udenhus?

Det tror jeg desværre at langt de fleste kunne finde på - og de vil ikke miste nattesøvn af den grund. De bekymrer sig ikke om hvorvidt deres data ligger i Søllerød, Springfield eller Timbuktu. ("Hvad mener du med at der er en risiko? Vores data ligger jo i "clouden" !!)

Takket være bl.a. Snowden, ved de fleste at "vi bliver overvåget". Men fra den viden og så til at tage konsekvenserne er der alt andet lige et meget langt stykke vej.

Jeg vil næsten vove den påstand, at hvis du færdes i dette forum, så er du allerede en del af en lille og ekstraordinært kritisk minoritet.

Kommentar ikke bare til Rene, men Rene har berørt dette også.

Den er da helt gal med retsopfattelsen i Danmark. Ifølge oplysninger fra UK er der idømt stor bøde straffe for ikke at opbevare data sikkert. Det tolkes i UK sådan, at data skal være krypteret. De danske afgørelse CSC (Politi mm.) har slet ikke omtalt dette emne. Så jeg formoder det slet ikke er krypteret og når nøglerne med adgang ligger på en server med åben adgang for alle er det selvfølgelig slet ikke ok at kriminalisere små firmaer for at lagre data på dropbox etc.

Eller kan kan jo vælge at placere filerne som en udbyder som ikke tilbyder (web)mail. Så vil jeg umiddelbart sige at mulighederne for tracking går mod nul.

Altså medmindre, der findes organisationer med trebogstavsforkortelser, der samarbejder med flere udbydere, eller kan overvåge internettrafik, eller for den sags får en kopi af al internettrafik, der krydser danske grænser.

Og for store filer kan filstørrelsen også være afslørende.

Men du har jo ret i, at hvis OC også bevarer filnavnene, så er det endnu værre.

Hvis du har en meget travl OC/encfs-server med 100-vis af brugere, så er er også en chance for at en af dem er en spion. Så kunne spionen fx uploade eller downloade et kontroversielt dokument og i samarbejde med cloudtjenesten nemt finde ud af hvilken krypteret fil, dokumentet svarede til. Og derefter kunne de ved at overvåge netværket finde ud af hvilke andre brugere der tilgik dokumentet.

Det er måske ikke et stort problem, hvis man bare vil beskytte sine familiebilleder. Men man kan heller ikke bare gå ud fra at det er lige så godt som at have filerne liggende hos sig selv.

Og i øvrigt. Du skriver at du bruger encfs, men det hjælper ikke. Encfs krypterer også filer og har samme problemer hvad det angår som OwnCloud.

Både og.

Rettighederne og timestamp opretholdes, men filenavnene bliver også krypteret at encfs Det gør de ikke af ownCloud, så vist jeg kunne se af mine begrænsede tests.

Ved mine forsøg var det kun indholdet som blev krypteret, så google vile stadigvæk kunne se at jeg har en sjovt billede af dronningen liggende, selvom de ikke kan se hvad det er der ligger der.

Ved at lægge en encfs lag ind imellem, kan de bare se at der ligger en fil af en given størrelse.

Men du har selvfølgelig ret i at hvis google kan tracke en link til en konkret krypteret fil, så ved de at en given file (måske/formodentlig) indeholder det der beskrives.

Hvis du vil tilgå noget fra min test-ownCloud-server kn de måske gøre det, da der ikke ligger det store på den, men tilgår man data på en travl server vil jeg sætte spørgsmål ved chancerne for deres træfsikkerhed. Eller kan kan jo vælge at placere filerne som en udbyder som ikke tilbyder (web)mail. Så vil jeg umiddelbart sige at mulighederne for tracking går mod nul.

/Henning

Spørgsmålet er så om de vil kunne sammenholde din krypterede file med den som din modtager har hentet. Men i princippet har du ret.

Jeg er ret sikker på at jeg også har ret i praksis. Hvad enten det er Google eller NSA vi snakker om.

[quote] Nej, men du har stadigvæk givet adgang til filen, så med mindre din bruger skal logge ind, kan google alligevel læse din fil. [/qoute]

Naturligvis regner jeg med at brugere skal logge ind, eller er der ingen grund til at bruge krypterede filer.

Og i øvrigt. Du skriver at du bruger encfs, men det hjælper ikke. Encfs krypterer også filer og har samme problemer hvad det angår som OwnCloud.

Modtageren åbner emailen i Gmail og trykker straks på linket, og OwnClould serveren henter billedet krypteret fra Googles sky, dekrypterer det og sender det SSL-krypteret til modtageren.</p>
<p>Google ved at modtageren har set billedet af Dronning Margrethe. Men Google ved også hvilken krypteret fil, der indeholder et billede af Dronningen. Næste gang nogen andre ser Dronningen på OC serveren, ved Google igen at nogen har set Dronningen.

Spørgsmålet er så om de vil kunne sammenholde din krypterede file med den som din modtager har hentet. Men i princippet har du ret.

Det ville ikke ske, hvis man holdt filerne på sin egen server i stedet for krypteret på en anden server.

Nej, men du har stadigvæk givet adgang til filen, så med mindre din bruger skal logge ind, kan google alligevel læse din fil.

Lige så lidt som at du dener en normal vedhæftet fil til en anden. Så snart du gør det, har du mistet kontrollen af den pågælende fil. Sådan er det bare.

Det jeg mente var:

Du sender nogen en mail med indholdet:

"Se dette sjove billede af Dronning Margrethe på min egen sikre OwnClould server ... [link til OC server i Danmark]".

Modtageren åbner emailen i Gmail og trykker straks på linket, og OwnClould serveren henter billedet krypteret fra Googles sky, dekrypterer det og sender det SSL-krypteret til modtageren.

Google ved at modtageren har set billedet af Dronning Margrethe. Men Google ved også hvilken krypteret fil, der indeholder et billede af Dronningen. Næste gang nogen andre ser Dronningen på OC serveren, ved Google igen at nogen har set Dronningen.

Det ville ikke ske, hvis man holdt filerne på sin egen server i stedet for krypteret på en anden server.

Fordi "utilgængelige" er et vidt begreb. Myndigheder har ikke lyst til at holde styr på om krypteringen er tilstrækkelig for alle cloud-løsninger. Eller om alle nøgler opbevares sikkert.

Nu er det vel også et soørgsmål om hvor krypteringen foregår.

Hvis jeg kryptere data lokalt inden jeg sender data til dropbox, onedrive, gdrive elle rhvem det nu måtte være, kan de pågældende data i hvert fald ikke bolt mountes fra en anden maskine.

Hvorvidt krypteringen så stadigvæk er god nok om 10, 20 50 eller 100 år er så en helt anden sag. Men til den tid er det nok også irellevant med så gamle data ;-).

Ved du hvorfor det er afgørende hvor data ligger hvis de er utilgængelige?

Fordi "utilgængelige" er et vidt begreb. Myndigheder har ikke lyst til at holde styr på om krypteringen er tilstrækkelig for alle cloud-løsninger. Eller om alle nøgler opbevares sikkert. Hvis fx arkivlove kræver at data skal være hemmelige i 100 år, så skal man vurdere om en krypteringen kan holde de næste 100 år. Og hvis fx min kommune fortalte mig, at de gemte mine oplysninger krypteret på en server i udlandet, så ville jeg heller ikke rigtig tro på, at de var i sikkerhed, der er for mange ting, der kan gå galt.

På den anden side er det med hvor data fysisk er placeret heller ikke et skudsikkert kriterie. Hvad hjælper det at data ligger på en disk i Irland, hvis man kan mounte den på en computer i USA over en GBit forbindelse hos et firma, der er tvunget til at give data videre til NSA og til ikke at oplyse, at de dermed har brudt EU's og Danmarks regler?

OwnCloud krypterer på filniveau. Dvs at dem, der har adgang til den eksterne server, kan se hvilke filer der tilgås, selvom de ikke kan se indholdet af dem

Af selv samme årsag har jeg sat en encfs volume op som så syncer via dropbox, men det kan gøres til en hvilken som helst udbyder, og jeg får krypteret end-to-end.

Men ja. Det giver selvfølgelig ikke beskyttelse mod en angriber der får fat i en dekrypteret version.

hvis du sender nogen et link til din OwnCloud server og de åbner det fra Google mail.

Lige så lidt som at du dener en normal vedhæftet fil til en anden. Så snart du gør det, har du mistet kontrollen af den pågælende fil. Sådan er det bare. Vi mangler stadigvæk den selvdestruerende file. Flere har forsøgt, men .... ;-)

Lige lidt info om et projekt jeg er involveret i. www.booleanvault.comHer arbejder vi med asymmetrisk asynkron segregering af data på tværs af public storage platforme for at imødekomme netop de problemer en manglende safe harbour situation selv ved brug af Gmail, Dropbox, one drive etc . Hiv fat i os for en snak. Vi er med et solidt proof of concept klar til at lave vores første løsninger til en fornuftig pris

Når du krypterer dine data (via din server/EU webhotel) inden de sendes til udlandet er der vel ikke noget problem. (ret mig venligst hvis jeg tager fejl)

US mistede jo sjovt nok sin safe harbour status fordi selv krypterer data ikke kunne garanteres

I dag skal man selv finde et alternativt overførselshjemmel, f.eks. ved at indgå såkaldte standard contractual clauses, SCC-kontrakt, med sin leverandør i USA.

Det han glemmer at sige er, at efter Safe Harbour dommen må det formodes at SCC-kontrakterne er lige så ugyldige som Safe Harbour, da de lider af præcis det samme problem: at data ikke kan være sikre i USA.

Men ved at foregive at SCC-kontrakter skulle være bedre, kan man fortsætte jo med at sende vores private data over atlanten, til der kommer en ny dom. Og til den tid kan man så sige, at det igen kom helt bag på en.

et gør f.eks. de små virksomheder som ikke har økonomi til en IT-afdeling befolket af så kloge hoveder som os.

Og det behøver altså ikke koste spidsen af en jetjager - men af en eller anden uransagelig grund, så er der ved at komme den holdning at IT skal være gratis, mens det er helt ok at køre firma Audi'erne til service to til fire gange om året.

Når du krypterer dine data (via din server/EU webhotel) inden de sendes til udlandet er der vel ikke noget problem. (ret mig venligst hvis jeg tager fejl)

Det kommer jo an på, hvad man vil beskytte sig mod.

Der lækkes noget metadata.

OwnCloud krypterer på filniveau. Dvs at dem, der har adgang til den eksterne server, kan se hvilke filer der tilgås, selvom de ikke kan se indholdet af dem. En modstander med adgang til bare een konto på OwnCloud serveren, der har adgang til samme filer, kan også finde frem til indholdet af de krypterede filer. Og måske kan man gætte indholdet ud fra størrelsen af filerne. Eller ud fra anden trafik, der går gennem udlandet, fx hvis du sender nogen et link til din OwnCloud server og de åbner det fra Google mail.

Jeg bruger også OwnCloud og det fungerer rigtig godt.

Hvilket firma kunne dog drømme om at lægge kundedata udenhus?

Hvilket firma kunne dog drømme om at lægge kundedata udenhus? Kundedata er for de fleste ikke-produktionsvirksomheder et eneste reelle aktiv. Hvem vil tiltro disse data til fremmede på en ukendt destination og juridisk forankret et eller andet skummelt sted? Hvad hvis hostingfirmaet går konkurs? Hvem sælger kurator til. Hvad forhindrer hostingfirmaet i at kryptere ens data og forlange løsepenge. Evt. via en stråmand for dets eget gode rygtes skyld.

Man er dybt naiv hvis man slipper ens data.

Et (måske åbenlyst selvbesvarende) spørgsmål i forlængelse af snakken om Google Drive. Påvirker dommen ikke også brug af GMAIL, dvs. hvis virksomheder benytter Gmail og andre Google Apps som værktøjer?

Ulovligt at gemme data om kunder eller medarbejdere på Google Drive:

Har det været lovligt at benytte googledrive til persondata før dommen? Som jeg er bekendt, så har google aldrig levet op til persondatalovens krav, men de kan selvfølgelig havde ændret virke.https://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/behandling-af-foelsomme-personoplysninger-i-online-kontorpakke/

Det er situationen efter Safe Harbor-dommen fra EU-Domstolen i oktober, som med et slag gjorde det ulovligt at opbevare persondata uden for EU. Med mindre man har en specifik databehandleraftale, hvilket langt de færreste har, vurderer en advokat:

Safe Harbor har intet at gøre med om du skal have en databehandleraftale eller ej? Den fortæller at du må benytte selskaber i lande, som er under aftalen. Du skal altid havde en databehandleraftale i forhold til persondata, som fortæller hvordan din leverandør skal behandle dine data inden for lovens rammer. F.eks. hvor er dine data, hvem har adgang til dine data og hvordan skal de beskyttes. Du har stadigvæk ansvaret for at denne aftale bliver overholdt, om du er under Safe Harbor i USA eller du arbejder med et dansk selskab, skal du sikre dine persondata, og hvis du benytter eksterne leverandører til persondata, skal de have en databehandler aftale med dig.

Måske menes der i artiklen, at man godt kan have sine data i f.eks. USA hvis man har en specifik databehandleraftale, godkendt af datatilsynet, hvilket er muligt, men denne har intet med Safe Harbor aftale at gøre, den kan anvendes i alle lande, herefter er det op til datatilsynet at tage stilling til aftalen.

Jeg vil tro, at sagen ender med, at NSA skal have en dommerkendelse - Af en dommer på deres egen lønningsliste, og så kan EU lukke sagen igen, da det nu kræver en kendelse at få adgang til data. Muligvis fjernes også NSAs mulighed for at få data fra udenlandske datterselskaber.

Udfra en amerikansk synsvinkel tror jeg at du har ret, inkl. vinklen på datterselskaber! Når den synsvinkel alligevel dumper, så er det pga. EU’s krav til Safe-Habour 2.0, hvor man vil styrke EU landenes datatilsyn og forhindre udenlandsk adgang til dataene!

Kort fortalt skal det sikres at f.eks. Irsk lov altid gælder for irske data, uanset om der er en amerikansk dommerkendelse eller ej. Det som betyder noget for irske data, er om der er en irsk dommerkendelse. Amerikansk ret er simpelhen inferiør i forhold til irske data.

Jeg er glad for at NSA med sin uhæmmede spionage i den grad reelt har udført massiv økonomisk sabotage imod selskaber som Microsoft, Apple, CSC med flere, fordi de nu vil miste markedsandele til europæiske konkurrenter. Hvis jeg var direktør for Microsoft – ville jeg kræve økonomisk kompensation fra staten USA fordi de ødelægger min forretning.

Det her kommer til at koste mange arbejdpladser i USA som vil flytte tilbage til Europa – og derfor skal vi i EU være glade for tåberne i NSA.

Det er ikke gjort med blot at flytte datacentre til EU – der skal være brandtætte juridiske vægge således at man effektivt udelukker amerikansk adgang. Og den model er heldigvis ”ikke kommet på bordet”!

Kun til data. Data er inden for EU (fransk firma) og det koster 35 kr om måneden for 10 Tb.

Men det er langsomt, mest som backup af lokal data.

Noget helt andet ? Må man som privatperson bruge google, og MS dataopbevaring. Har jo personlige oplysninger som fødselsdage, og lignende skrevet ind i kalender og dokumenter ?

Hi Der,

Spideroak er et andet udemærket alternativ og findes på flere ambitionsniveauer.

Jeg har prøvet Owncloud lidt on/off i nogle år. Jeg synes simpelt hen ikke det virker gennemarbejdet nok som produkt.

Til gengæld har jeg haft rimelig god success med både Pydio og Alfresco, som kan noget af det samme. Men jeg er stadig på jagt efter det der er nemt, og bare virker, og samtidig er relativt sikkert.

Hele problemet går på, at amerikanske selskaber, uden kendelse, skal udlevere alle kunders data fra ethvert datterselskab ethvert sted i verden. Dermed kan persondata ikke beskyttes.

Dette betyder, at det prinicipielt er ulovligt at lade amerikanske selskaber databehandle, Dvs man ikke må bruge O365 til mail hvis man er i EU, da man risikerer persondata her. Man må ikke outsource til IBM, uanset hvor de lagrer data. Det samme gælder CSC. Så staten skal til at se sig om efter en ny udbyder. Ved ikke lige med ejerskabet af KMD ?

Så den danske stat lever i øjeblikket på EUs nåde, da man har rigtigt meget data der kan tilgås af CSC, og dette er dømt ude.

Der er en grund til, at Microsoft vil udbyde O365 til europæiske kunder fra et datacenter drevet af EU baserede selskaber, så MSFT ikke på nogen måde har adgang til data. MSFT kører også retssag i USA i øjeblikket, fordi NSA bad om data fra MSFT Irland - Altså data i EU. NSA mener de skal have det, men Microsoft kan se de forretningsmæssige konsekvenser og kører sagen i byretten i NY for tiden.

Jeg vil tro, at sagen ender med, at NSA skal have en dommerkendelse - Af en dommer på deres egen lønningsliste, og så kan EU lukke sagen igen, da det nu kræver en kendelse at få adgang til data. Muligvis fjernes også NSAs mulighed for at få data fra udenlandske datterselskaber.

Ved du hvorfor det er afgørende hvor data ligger hvis de er utilgængelige?

Fordi så er sådan er embedsmænd! De checker om loven er overholdt og er den ikke det – så falder hammeren!

En embedsmand tager ikke stilling til om en lov er fornuftig eller ikke – da det er et politisk anliggende.

Det der med formildende omstændigheder, det overlader embedsmanden til domstolene.

Ved du hvorfor det er afgørende hvor data ligger hvis de er utilgængelige? Hvilke tanker der ligger bag. Er det sikring af egen infrastruktur eller måske at man ikke har sat sig ind i at det er en mulighed og derfor har malet med brede pensler lovgivningsmæssigt?

Når du kryptere dine data (via din server/EU webhotel) inden de sendes til udlandet er der vel ikke noget problem. (ret mig venligst hvis jeg tager fejl)

Du/i/virksomheden får en bøde fordi data ikke ligger i Europa og der ingen SCC aftale er !

Jeg bruger owncloud sammen med nogen venner, der er en af os som er så heldige at han har en hurtig fiber forbindelse.Vi har også kørt det nogen år.

glemte en vigtig pointe: Hvis man ikke stoler/gider at sikre sit eget storage kan man aktivere external storage. Det gemmer dine data, krypteret hvis du vil, på eksempelvis Amazon s3, dropbox, google driver eller 10 andre platforme. Når du krypterer dine data (via din server/EU webhotel) inden de sendes til udlandet er der vel ikke noget problem. (ret mig venligst hvis jeg tager fejl)

Jeg kan anbefale Owncloud. Det kan køres hostet hvor du vil eller selvhostet. Det er dropbox-lignende software - men med mulighed for meget mere via apps (noter/gallerier, public upload/carddav/Caldav). Det er open source - og fås som community og enterprise udgave. Jeg har kørt Owncloud på min egen server i 3-4 år.