Video: Internetaktivisten bag Europas cloud-hovedpine gør status et år efter dommen

16. juli 2021 kl. 14:238
Video: Internetaktivisten bag Europas cloud-hovedpine gør status et år efter dommen
Illustration: Noyb.
Mange europæiske virksomheder har ikke fattet alvoren af dommen, der for et år siden satte mange urolige miner i både offentlige og private virksomheder. Sådan lyder kritikken fra Max Schrems et år efter dommen.
Steffen Villadsen
Steffen Villadsen
Journalist
Artiklen er ældre end 30 dage
Steffen Villadsen
Steffen Villadsen
Journalist
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

For præcis et år siden blev den såkaldte Schrems II-dom knæsat ved EU-domstolen. Siden har den fyldt tæt på alt på cloud-dagsordenen herhjemme. Nu kigger manden bag tilbage.

Afgørelsen har mildest talt besværliggjort persondataoverførsler til tredjelande heriblandt USA, hvilket har efterladt danske organisationer i det offentlige og det private i vildrede. Mange har nemlig i løbet af de seneste år begivet sig ud på cloud-eventyr og har i den forbindelse lagt deres data enten direkte i favnen på tech-giganter som Google, Amazon og Microsoft eller indirekte via services, der drives ved hjælp af giganternes infrastruktur.

Men selvom dommen i sig selv og eksperter i brede vendinger er enige om, at spillerummet for persondataoverførsler til eksempelvis USA er ret så begrænset, er det kun ganske få virksomheder, der har forstået pointen.

Sådan lyder kritikken fra den østrigske internetaktivist Max Schrems, der har lagt navn til dommen. Her et år efter kigger han i en video fra organisationen NOYB tilbage på forløbet.

Artiklen fortsætter efter annoncen

»Kun en lille del af europæiske virksomheder har indset, at den underliggende konflikt mellem EU's databeskyttelse og amerikansk overvågningslovgivning ikke bliver løst på den korte bane,« siger han og peger på, at mange heller ikke har taget konsekvensen og flyttet data hjem til Europa."

Ligegyldig pseudo-hjælp

I spændingsfeltet mellem kunder, jurister og leverandører udspiller der sig en linedans, hvor mange endnu venter på at se, hvordan situationen endeligt håndteres og håndhæves af myndighederne.

Herhjemme har vi på Version2 beskrevet, hvordan eksempelvis Sundhedsplatformen har været fanget i en kattepine på grund af Schrems II-dommen.

Her var blandt andet Region Hovedstaden kaldt til møde med andre europæiske Epic-kunder for at diskutere, hvordan man skulle håndtere en situation, hvor Epic-medarbejdere i supportsituationer havde adgang til klartekst på kontorene i USA.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Men det er ikke kun regionerne, der abonnerer på Sundhedsplatformen, der har mærket den kolde cloud-sved begynde at perle på overlæben. Mange virksomheder og organisationer holdes fortsat hen med formaninger om, at alting formentlig kommer til at løse sig på magisk vis via en ny aftale, på samme måde, som man så, hvordan Privacy Shield afløste Safe Harbour.

Men det virker nærmest som høflige miner til slet spil, lyder kritikken fra Max Schrems.
Allan Frank, it-sikkerhedsspecialist hos Datatilsynet

»En horde af erhvervsadvokater og amerikanske cloud-leverandører forsøger sig med en »keep calm and carry on«-pseudo-guidance,« siger han.

Venter fortsat

Ifølge internetaktivisten, der altså har sat det meste af den europæiske del af cloud-verdenen på den anden ende, har også diverse datatilsyn i EU også lænet sig tilbage i sagen.

Uagtet er de endelige anbefalinger fra Det Europæiske Databeskyttelsesråd (EDPB) er landet, og mens mange havde håbet på, at de ville indeholde en åbning eller på anden måde anvise en løsning på problemstillingen, blev de skuffet.

»Det er et meget snævert rum, der er for brug af tjenester der overfører persondata til USA, og det mener jeg egentlig allerede, at den oprindelige dom fra EU-domstolen beskrev,« sagde Allan Frank, der er it-sikkerhedsspecialist hos Datatilsynet og har været involveret i arbejdet med anbefalingerne.

»Vi har i de sidste mange år haft en måde at forbruge it-produkter på, som EU-domstolen nu har konstateret ikke er i overensstemmelse med reglerne. Så vi er et sted nu, hvor man som dataansvarlig skal lakmusteste sit setup,« lød det ligeledes dengang fra Allan Frank.

Men selvom det kan lyde som om, at man også hos Datatilsynet herhjemme ser ret klart på, hvordan spillepladen udfolder sig, når det kommer til overførsler, så mener Max Schrems ikke, at det er tilstrækkeligt.

Leverandører som Microsoft og AWS har ellers siden Schrems II-dommen arbejdet på at give deres kunder en vished for, at deres setup er i overenstemmelse med reglerne. Men afgørelsen og anbefalingerne viser, at det ser svært ud.

»Jeg ser det lidt som en grundpræmis, at leverandørerne selvfølgelig må gøre det, der skal til for at deres løsninger harmonerer med europæisk lov.« har Allan Frank tidligere udtalt.

Se hele videoen fra organisationen NOYB med Max Schrems her:

Dette eksterne indhold er blokeret da du ikke har givet samtykke til markedsførings-cookies. For at se indholdet skal du opdatere dine cookie-indstillinger.
8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
Johnny Lüchau
19. juli 2021 kl. 16:27

Tja, hvis man kan dokumentere at der ikke er fysisk adgang mellem moder- og datterselskab og EU-datterselskabet ikke kan tvinges til at efterkomme en FISA-stævning, så er det nok ok tænker jeg. Dataansvarlig skal jo kunne bevise det.

Man kan også spare sig selv for at skulle løfte den omvendte bevisbyrde, ved bare at bruge EU-udbydere i stedet for ;-)

  • more_vert
    • insert_linkKopier link
6
Rune Jensen
19. juli 2021 kl. 08:10

Alverdens kryptering vil aldrig virke.

Hvorfor?

Fordi dem som sidder med data, har vist at de er ligeglade med konsekvenserne (eller mangel på samme) ved deling af data.

Se på SSI, se hvor mange gange de har delt data uden juridisk grundlag, eller bare har delt pga. man er ligeglad.

Der må designes nogle konsekvenser som er til at føle på, så virksomhed/organisation bliver straffet mærkbart og selve den/de person/personer som delte data også får en straf.

Så begynder kryperingsnøgler og beskyttelse omkring persondata at besidde en værdi for andre også.

  • more_vert
    • insert_linkKopier link
5
Casey M.
18. juli 2021 kl. 20:37

Mange har nemlig i løbet af de seneste år begivet sig ud på cloud-eventyr og har i den forbindelse lagt deres data enten direkte i favnen på tech-giganter som Google, Amazon og Microsoft eller indirekte via services, der drives ved hjælp af giganternes infrastruktur.

Så er man vel også selv lidt uden om det. Men foreslåede løsning fra #1 lyder til at være en god løsning umiddelbart.

  • more_vert
    • insert_linkKopier link
4
Johnny Lüchau
18. juli 2021 kl. 19:18

Udfordringen er at ingen helt ved hvilken rækkevidde den amerikanske FISA-lovgivning har, fordi meget af den er hemmelig.

Hvis vi kendte detaljerne, så kunne man nok lave en passende konstruktion.

Men, desværre viste de lækkede dokumenter i 2013 at tech-giganternes giver de amerikanske myndigheder adgang til data frivilligt. De er ikke ofre...

Hvordan forsvarer man sig imod det?

  • more_vert
    • insert_linkKopier link
3
Claus Bobjerg Juul
18. juli 2021 kl. 12:38

Kunne man forestille sig en virksomhedskontruktion hvor XXXXX.EU, der er ejet af XXXXX.US, har en formålsparagraf/vedtægt der kræver at:

  • Ledelsen i XXXXX.EU skal etablere et GDPR compliant driftmiljø.
  • Ledelsen i XXXXX.EU ikke må lade XXXXX.US kompromittere det GDPR compliant driftmiljø.
  • Alle medarbejdere i XXXXX.EU skal være bosiddende i EU.
  • Alle medarbejdere i XXXXX.EU skal gå til pressen, hvis de enten opdager eller bliver bedt om at udlevere data til XXXXX.US eller etablere forbindelser til XXXXX.US, da disse vil kompromittere det GDPR compliant driftmiljø.
  • Enhver ansat i XXXXX.EU der går til pressen med oplysninger der viser/påviser/beeviser at XXXXX.EU's GDPR compliant driftmiljø er tilgængeligt for XXXXX.US, og derved er non-compliant belønnes med 2 gange årsløn.

XXXXX.EU etablere et driftmiljø magen til XXXXX.US, men hostet og styret udelukkende på EU jord.

  • more_vert
    • insert_linkKopier link
2
Bjarne Nielsen
16. juli 2021 kl. 18:55

Her et link til en video fra NOYB, hvor Max Schrems gør status et år efter "Schrems II": https://noyb.eu/en/statement-max-schrems-schrems-ii-anniversary

Det er muligt, at der er tale om samme video som i artiklen - det kan jeg ikke vide, da jeg lider af funktionel cookie allergi, og derfor generelt afviser cookies, og siden åbenbart er for handicappet til at fungere uden (det er i hvertfald, hvad den selv siger):

Dette indhold kan kun vises hvis funktionelle cookies er accepteret.</p>
<p>Klik for at opdatere samtykke

  • more_vert
    • insert_linkKopier link
1
Johnny Lüchau
16. juli 2021 kl. 15:31

Det snævre rum som Allan Frank taler om, bør konkretiseres. Her er mit forsøg:

Du kan kun bruge en amerikansk-ejet leverandør eller underleverandør, såfremt denne ikke kan læse de data han har i sin varetægt.

Da man ikke kan behandle krypterede data, kan du kun bruge disse leverandører til at opbevare passive, krypterede data f.eks. til opbevaring af en (krypteret) backup.

Krypteringsnøglen skal endvidere være udenfor leverandørerens rækkevidde.

Hvis nogen kan komme på andre scenarier, så lad os høre!

  • more_vert
    • insert_linkKopier link