Video: Internetaktivisten bag Europas cloud-hovedpine gør status et år efter dommen

Illustration: Noyb
Mange europæiske virksomheder har ikke fattet alvoren af dommen, der for et år siden satte mange urolige miner i både offentlige og private virksomheder. Sådan lyder kritikken fra Max Schrems et år efter dommen.

For præcis et år siden blev den såkaldte Schrems II-dom knæsat ved EU-domstolen. Siden har den fyldt tæt på alt på cloud-dagsordenen herhjemme. Nu kigger manden bag tilbage.

Afgørelsen har mildest talt besværliggjort persondataoverførsler til tredjelande heriblandt USA, hvilket har efterladt danske organisationer i det offentlige og det private i vildrede. Mange har nemlig i løbet af de seneste år begivet sig ud på cloud-eventyr og har i den forbindelse lagt deres data enten direkte i favnen på tech-giganter som Google, Amazon og Microsoft eller indirekte via services, der drives ved hjælp af giganternes infrastruktur.

Men selvom dommen i sig selv og eksperter i brede vendinger er enige om, at spillerummet for persondataoverførsler til eksempelvis USA er ret så begrænset, er det kun ganske få virksomheder, der har forstået pointen.

Sådan lyder kritikken fra den østrigske internetaktivist Max Schrems, der har lagt navn til dommen. Her et år efter kigger han i en video fra organisationen NOYB tilbage på forløbet.

»Kun en lille del af europæiske virksomheder har indset, at den underliggende konflikt mellem EU's databeskyttelse og amerikansk overvågningslovgivning ikke bliver løst på den korte bane,« siger han og peger på, at mange heller ikke har taget konsekvensen og flyttet data hjem til Europa."

Ligegyldig pseudo-hjælp

I spændingsfeltet mellem kunder, jurister og leverandører udspiller der sig en linedans, hvor mange endnu venter på at se, hvordan situationen endeligt håndteres og håndhæves af myndighederne.

Herhjemme har vi på Version2 beskrevet, hvordan eksempelvis Sundhedsplatformen har været fanget i en kattepine på grund af Schrems II-dommen.

Her var blandt andet Region Hovedstaden kaldt til møde med andre europæiske Epic-kunder for at diskutere, hvordan man skulle håndtere en situation, hvor Epic-medarbejdere i supportsituationer havde adgang til klartekst på kontorene i USA.

Læs også: EU-dom presser Sundhedsplatformen: Region H til krisemøde med europæiske Epic-kunder

Men det er ikke kun regionerne, der abonnerer på Sundhedsplatformen, der har mærket den kolde cloud-sved begynde at perle på overlæben. Mange virksomheder og organisationer holdes fortsat hen med formaninger om, at alting formentlig kommer til at løse sig på magisk vis via en ny aftale, på samme måde, som man så, hvordan Privacy Shield afløste Safe Harbour.

Men det virker nærmest som høflige miner til slet spil, lyder kritikken fra Max Schrems.

Allan Frank, it-sikkerhedsspecialist hos Datatilsynet Illustration: Københavns Universitet

»En horde af erhvervsadvokater og amerikanske cloud-leverandører forsøger sig med en »keep calm and carry on«-pseudo-guidance,« siger han.

Læs også: Schrems II-aktivist: »Du ville aldrig diskutere, om europæeres data kunne hostes i Nordkorea«

Venter fortsat

Ifølge internetaktivisten, der altså har sat det meste af den europæiske del af cloud-verdenen på den anden ende, har også diverse datatilsyn i EU også lænet sig tilbage i sagen.

Uagtet er de endelige anbefalinger fra Det Europæiske Databeskyttelsesråd (EDPB) er landet, og mens mange havde håbet på, at de ville indeholde en åbning eller på anden måde anvise en løsning på problemstillingen, blev de skuffet.

»Det er et meget snævert rum, der er for brug af tjenester der overfører persondata til USA, og det mener jeg egentlig allerede, at den oprindelige dom fra EU-domstolen beskrev,« sagde Allan Frank, der er it-sikkerhedsspecialist hos Datatilsynet og har været involveret i arbejdet med anbefalingerne.

»Vi har i de sidste mange år haft en måde at forbruge it-produkter på, som EU-domstolen nu har konstateret ikke er i overensstemmelse med reglerne. Så vi er et sted nu, hvor man som dataansvarlig skal lakmusteste sit setup,« lød det ligeledes dengang fra Allan Frank.

Men selvom det kan lyde som om, at man også hos Datatilsynet herhjemme ser ret klart på, hvordan spillepladen udfolder sig, når det kommer til overførsler, så mener Max Schrems ikke, at det er tilstrækkeligt.

Leverandører som Microsoft og AWS har ellers siden Schrems II-dommen arbejdet på at give deres kunder en vished for, at deres setup er i overenstemmelse med reglerne. Men afgørelsen og anbefalingerne viser, at det ser svært ud.

»Jeg ser det lidt som en grundpræmis, at leverandørerne selvfølgelig må gøre det, der skal til for at deres løsninger harmonerer med europæisk lov.« har Allan Frank tidligere udtalt.

Læs også: Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

Se hele videoen fra organisationen NOYB med Max Schrems her:

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Johnny Lüchau Blogger

Det snævre rum som Allan Frank taler om, bør konkretiseres. Her er mit forsøg:

Du kan kun bruge en amerikansk-ejet leverandør eller underleverandør, såfremt denne ikke kan læse de data han har i sin varetægt.

Da man ikke kan behandle krypterede data, kan du kun bruge disse leverandører til at opbevare passive, krypterede data f.eks. til opbevaring af en (krypteret) backup.

Krypteringsnøglen skal endvidere være udenfor leverandørerens rækkevidde.

Hvis nogen kan komme på andre scenarier, så lad os høre!

  • 24
  • 0
#2 Bjarne Nielsen

Her et link til en video fra NOYB, hvor Max Schrems gør status et år efter "Schrems II": https://noyb.eu/en/statement-max-schrems-schrems-ii-anniversary

Det er muligt, at der er tale om samme video som i artiklen - det kan jeg ikke vide, da jeg lider af funktionel cookie allergi, og derfor generelt afviser cookies, og siden åbenbart er for handicappet til at fungere uden (det er i hvertfald, hvad den selv siger):

Dette indhold kan kun vises hvis funktionelle cookies er accepteret.

Klik for at opdatere samtykke

  • 12
  • 0
#3 Claus Bobjerg Juul

Kunne man forestille sig en virksomhedskontruktion hvor XXXXX.EU, der er ejet af XXXXX.US, har en formålsparagraf/vedtægt der kræver at:

  • Ledelsen i XXXXX.EU skal etablere et GDPR compliant driftmiljø.
  • Ledelsen i XXXXX.EU ikke må lade XXXXX.US kompromittere det GDPR compliant driftmiljø.
  • Alle medarbejdere i XXXXX.EU skal være bosiddende i EU.
  • Alle medarbejdere i XXXXX.EU skal gå til pressen, hvis de enten opdager eller bliver bedt om at udlevere data til XXXXX.US eller etablere forbindelser til XXXXX.US, da disse vil kompromittere det GDPR compliant driftmiljø.
  • Enhver ansat i XXXXX.EU der går til pressen med oplysninger der viser/påviser/beeviser at XXXXX.EU's GDPR compliant driftmiljø er tilgængeligt for XXXXX.US, og derved er non-compliant belønnes med 2 gange årsløn.

XXXXX.EU etablere et driftmiljø magen til XXXXX.US, men hostet og styret udelukkende på EU jord.

  • 0
  • 0
#4 Johnny Lüchau Blogger

Udfordringen er at ingen helt ved hvilken rækkevidde den amerikanske FISA-lovgivning har, fordi meget af den er hemmelig.

Hvis vi kendte detaljerne, så kunne man nok lave en passende konstruktion.

Men, desværre viste de lækkede dokumenter i 2013 at tech-giganternes giver de amerikanske myndigheder adgang til data frivilligt. De er ikke ofre...

Hvordan forsvarer man sig imod det?

  • 5
  • 0
#5 Casey M.

Mange har nemlig i løbet af de seneste år begivet sig ud på cloud-eventyr og har i den forbindelse lagt deres data enten direkte i favnen på tech-giganter som Google, Amazon og Microsoft eller indirekte via services, der drives ved hjælp af giganternes infrastruktur.

Så er man vel også selv lidt uden om det. Men foreslåede løsning fra #1 lyder til at være en god løsning umiddelbart.

  • 0
  • 0
#6 Rune Jensen

Alverdens kryptering vil aldrig virke.

Hvorfor?

Fordi dem som sidder med data, har vist at de er ligeglade med konsekvenserne (eller mangel på samme) ved deling af data.

Se på SSI, se hvor mange gange de har delt data uden juridisk grundlag, eller bare har delt pga. man er ligeglad.

Der må designes nogle konsekvenser som er til at føle på, så virksomhed/organisation bliver straffet mærkbart og selve den/de person/personer som delte data også får en straf.

Så begynder kryperingsnøgler og beskyttelse omkring persondata at besidde en værdi for andre også.

  • 7
  • 0
#8 Johnny Lüchau Blogger

Tja, hvis man kan dokumentere at der ikke er fysisk adgang mellem moder- og datterselskab og EU-datterselskabet ikke kan tvinges til at efterkomme en FISA-stævning, så er det nok ok tænker jeg. Dataansvarlig skal jo kunne bevise det.

Man kan også spare sig selv for at skulle løfte den omvendte bevisbyrde, ved bare at bruge EU-udbydere i stedet for ;-)

  • 5
  • 0
Log ind eller Opret konto for at kommentere