Vigtig Schrems II-afgørelse i Frankrig: Blåstempler omstridt AWS-garanti

7. april 2021 kl. 03:4519
Vigtig Schrems II-afgørelse i Frankrig: Blåstempler omstridt AWS-garanti
Illustration: Bigstock.
Den øverste franske forvaltningsdomstol, Conseil d'Etat, har afvist at suspendere en aftale, der benytter AWS til at hoste persondata. En interessant dom, vurderer advokat.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Forholdet mellem USA og Frankrig har historisk set været lettere anspændt, og det ville være synd at sige, at Frankrig som en af søjlerne i den ‘gamle’ verden frivilligt går på knæ for de historisk set unge amerikanerne.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
19 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
19
10. april 2021 kl. 17:33

Og kryptering er da fint, men da både IBM og Google har annonceret at de kan knække de mest almindelige med deres kvantecomputere, så skal man være lidt mere specifik.

Har du en kilde på det ovennævnte? Mit bekendt er det ikke muligt endnu. Og det er kun asymetrisk kryptering, hvor kvatecomputeren er stærk imod grundet PI. Symmetrisk kryptering kan stadig ikke brydes.

Opbevaring i skyen kan gøres sikkert, hvis der bruges klient side kryptering, dvs. data krypteres inden de sendes i skyen. Hvis det kan bygges op på det princip, kan det være løsningen på NSA mv. der ønsker at snage i vores data :)

16
8. april 2021 kl. 10:18

Og det er ligegyldigt om det er følsomme persondata eller blot almindelige.

Jeg skal ikke kloge mig på de finere nuancer i fransk ret, men som jeg ser det, så bruger dommeren en risikobaseret tilgang til kendelsen.

I den franske kendelse (afsnit 8 linje 3) står der;

”De pågældende oplysninger omfatter personoplysninger og oplysninger om aftaler, men ingen helbredsoplysninger om eventuelle medicinske grunde til at være berettiget til vaccination, da de pågældende personer blot ved aftale på tro og love erklærer, at de er berettiget til prioriteret vaccination, hvilket kan vedrøre voksne i alle aldre uden særlige medicinske grunde.

Disse oplysninger slettes senest tre måneder efter datoen for udnævnelsen, og hver enkelt person, der har oprettet en konto på platformen med henblik på vaccinationen, kan slette dem direkte online.

Doctolib og AWS har indgået et tillægstillæg om databehandling, der fastlægger en særlig procedure i tilfælde af anmodninger om adgang fra en offentlig myndighed til oplysninger, der behandles på vegne af Doctolib, og som navnlig indeholder bestemmelser om indsigelse mod generelle anmodninger eller anmodninger, der ikke er i overensstemmelse med EU-reglerne.

Doctolib har også etableret et sikkerhedssystem for data hostet af AWS gennem en krypteringsprocedure baseret på en betroet tredjepart i Frankrig for at forhindre, at tredjeparter kan læse data.

I betragtning af disse garantier og de pågældende oplysninger kan beskyttelsesniveauet for oplysningerne om tidsbestilling i forbindelse med Covid-19-vaccinationskampagnen ikke anses for åbenbart utilstrækkeligt i lyset af den risiko for overtrædelse af den generelle forordning om databeskyttelse, som sagsøgerne har påberåbt sig. Selv om den ansøgende sammenslutning også påberåbte sig risici i forbindelse med brugen af andre tjenesteudbydere end AWS, fremgår det ikke af undersøgelsen, at disse tjenesteudbydere var involveret i hostingen af de pågældende data.

Translated with www.DeepL.com/Translator (free version)”

Så det dommeren vurderer, er at risikoen ikke er ret stor, fordi det blot er en ”standalone” onlinekalender hvor man blot erklærer at man har lov til at booke en vaccination via en ”Tro- og Loveerklæring”.

Kalenderen indeholder ikke personfølsomme oplysninger og den kan i øvrigt slettes online af borgeren selv og gør borgeren det ikke, så gør systemet det selv efter 3 måneder.

Det er den risiko dommeren forholder sig til. Men det er også vigtigt at forstå konteksten, for dommeren traf afgørelsen på 48-timer da det franske vaccinationsprogram ellers skulle stoppes. Så mon ikke muligt tab af menneskeliv har indgået i dommerens risikovurdering?

Hvis der er noget nyt i denne nyhed, så er det den risikobaserede tilgang som den franske dommer anvender, men det er slet ikke en accept af AWS eller den garanti som AWS stiller i udsigt som artiklens overskrift angiver.

Så selve snakken om risikoen, må jo nødvendigvis betyde at dommeren anerkender noget ulovlig sker, men det potentielle tab af menneskeliv opvejer risikoen/ulempen - en begrænset periode. For på et tidspunkt er der jo forhåbentlig ikke mere COVID-19.

I øvrigt er jeg enig med dig. Man løber en unødig risiko ved at data forlader EU.

15
8. april 2021 kl. 09:49

@Rene: enhver europæisk bekendtgørelse som går via nationale datatilsyn eller nationale domstole kan danne precedence for fremtidige sager. Det behøves ikke, bevares, men man bruger alle kneb og tricks, hvis bare de hjælper ens egen sag.

Og den antagelse du kommer med ift. at det jo "kun er 3 mdr" og man har "fuld kontrol som individ" gør ikke noget godt for sagen, da det ikke er vigtigt hvor længe du opbevarer det. Bare et sekunds opbevaring betyder effektivt at det kan deles med NSA og det derfor har brudt persondatasikkerheden. Og det er ligegyldigt om det er følsomme persondata eller blot almindelige.

@Allan: Det er ikke sølvpapirstænkning at vi mister vores grundlæggende menneskerettigheder som vi er sikret igennem EU charteret og EU grundloven. Det er dem, der overtrædes, når NSA laver anmodning til en cloud-udbyder for udlevering af data. Og det er en overtrædelse til forskel for når danske efterretningstjenester beder om adgang, da vi som europæere er sikret et vist niveau af sikkerhed - proportionalitet bare som eksempel, eller muligheden for at anke den slags overvågning og spionage. Det kan europæere ikke i USA. Vi får ikke engang at vide, at vi er blevet overvåget, hvilket man godt ville, hvis europæiske efterretningstjenester havde brug for nogle af dine data. Så ja, målet ER faktisk at NSA ikke uden videre og kan få udleveret data om dig.

14
7. april 2021 kl. 16:20

Så du tror at AWS per default har lokal admin brugere på alle hosted VMer....

13
7. april 2021 kl. 16:16

Er målet virkeligt at undgå NSA for adgang, og hvilken omkostning vil det i såfald have?

Såvidt jeg ved opererer NSA som de danske efterretningstjenester, under nogle helt andre regler så ift. EU data vil det være spionage, som de næppe spørger en amerikansk domstol, før de skaffer sig adgang! Heri tror jeg NSA kan skaffe adgang til data uanet tekniskeforanstaltning, så længe mennesker har adgang vil et effekttivt phishing angreb være en langt billigere løsning.

Jeg er med på tanken om at beskytte EU data, specielt person data, men når samtalen skifter til sølvpapirshatte og Area 51 retorik, går det for langt!

12
7. april 2021 kl. 15:55

Bruger man det her som precendence fremover

Jeg tror at man skal passe meget på at tillægge ovenstående afgørelse for stor vægt eller præjudikatsværdi om i vil.

Det er trods kun en tidsbegrænset kalender på tre måneder som AWS hoster, som ikke indeholder følsomme data som f.eks. sundhedsoplysninger og hvor brugerne i realitetens har fuld kontrol over deres egne data, ved at de kan slette online.

Ligesom at det for mig lyder som en slags fogedret, hvor der venter en egentlig behandling ved en domstol senere.

Dermed er vi jo langt væk fra den anvendelse som f.eks. det offentlige som f.eks. kommuner har i deres cloudløsninger.

11
7. april 2021 kl. 14:16

Jeg henviser til mit kommentar fra kl. 14:02.

Bruger man det her som precendence fremover, betyder det, at AWS' garanti nu er godkendt som juridisk supplerende foranstaltning når det gælder ikke-følsomme persondata, SAMMEN med at krypteringsnøgler er betroet til en tredjepart i Frankrig og der er en klar slettefrist (lovkrav uanset hvad) og en mulighed for at den registrerede styrer, hvornår noget slettes (som jeg ser som en given rettighed, derfor ikke meget supplering over det).

Men som ovenfor anført: det er næppe krypteret in-use, og derfor næppe sikkert overfor AWS og NSA.

Måske Schrems allerede er ved at udtænke sig noget spændende, lige som han er gået imod det irske datatilsyn.

10
7. april 2021 kl. 14:09

... til at åbne filerne med, hvis det fortsat er Amazon, der har fuld kontrol med hvad der sker, når dette skrives ind. Uden at have set det tekniske setup, lyder det til at efterlade god plads til bagdøre og sniglæsning. Tvivler på, at NSA vil tillade en effektiv lås...

9
7. april 2021 kl. 14:02

Jeg ser ikke nogen indikationer i dommen på at selve den garanti som AWS er kommet med skulle være blevet blåstemplet.

Jo, det er lidt det springende punkt her. AWS' garanti anses nu som en juridisk foranstaltning, som er med til at supplere sikkerhedsforanstaltningerne, som så skal danne grundlag for at Doctolib kan tage en "risikobaseret tilgang" og bevare de europæiske garantier.

Men det er jo præcis det, denne garanti ikke kan. Det er ikke en supplerende foranstaltning, men et tomt løfte uden precedence, beviser, juridisk bindende virkning, eller lign.

8
7. april 2021 kl. 11:45

Tak for opklaringen René.

7
7. april 2021 kl. 11:26

Nogle gange ville det være rart med at kunne redigerer, lidt længere end de knap 3-5 minutter man har

Det er basalt set en kalender som AWS har fået lov at hoste og ikke noget som indeholder helbredsoplysninger.

6
7. april 2021 kl. 11:20

Jeg tror at det er gået lidt hurtigt for journalisten på V2. For artiklen drejer sig om COVID-19 og de data den franske smitteopsporing/vaccination benytter.

Det afgørelsen omfatter er alene et krav om øjeblikkelig suspendering af imellem Doctolib og WS Sarl, som er et datterselskab af det amerikanske selskab Amazon Web Services Inc. Fordi klager mente at det indebar en risiko i forbindelse med de amerikanske myndigheders anmodninger om adgang.

Det domstolen afgør er, at (jeg har tilladt at benytte www.deepl.com på den franske pressemeddelelse til nedenstående oversættelse)

”Dommeren for uopsættelige sager ved Conseil d'État bemærkede først, at de oplysninger, der blev videregivet til Doctolib i forbindelse med vaccinationskampagnen, ikke omfattede helbredsoplysninger om de medicinske grunde til at være berettiget til vaccination, men kun vedrørte identifikation af personer og aftale af aftaler. Disse oplysninger slettes senest tre måneder efter datoen for udnævnelsen, og de registrerede personer kan også slette dem direkte online.

Dommeren for uopsættelige sager bemærkede derefter, at den kontrakt, der er indgået mellem Doctolib og AWS Sarl, indeholder en særlig procedure i tilfælde af anmodninger om adgang fra en udenlandsk myndighed, der giver mulighed for at anfægte enhver anmodning, der ikke er i overensstemmelse med de europæiske bestemmelser. Doctolib har desuden indført en sikkerhedsforanstaltning for de data, der er hostet af AWS Sarl, baseret på en betroet tredjepart beliggende i Frankrig for at forhindre, at tredjeparter kan læse dataene.”

Så det dommeren har vurderet, er at

  1. at der er tale tidsbegrænset opbevaring på 3 måneder
  2. at brugerne/borgerne kan selv slette data
  3. at der ikke var tale om generelle heldbredsoplysninger som opbevares hos AWS Sarl
  4. at der var supplerende sikkerhedsforanstaltninger hos en betroet tredjepart beliggende i Frankrig

Det er ikke en generel tilladelse til AWS som nu kan anvendes som et ”sikkert tredjeland”, men en konkret vurdering af den konkrete app / situation.

Så det korte svar er, at AWS forsat er "dumpet".

Må jeg forslå at V2 redaktionen køber den betalte udgave af Deep L?

Google Translate er fin til privat brug, men der for mange meningsforstyrrende fejl i Google Translate!

5
7. april 2021 kl. 11:19

kun "at rest" - og de diske er jo "mounted" når serverne er tændt - og hvis AWS USA medarbejder har remote adgang til serverne - så er betingelsen i dommen ikke opfyldt ?

4
7. april 2021 kl. 10:28

Jeg ser ikke nogen indikationer i dommen på at selve den garanti som AWS er kommet med skulle være blevet blåstemplet.

I stedet fokuseres på supplerende aftaler og langt vigtigere: At data er krypteret og derfor ikke kan tilgås i klartekst af AWS (hvilket præcis er den betingelse som netop fremhæves som problematisk i retningslinjerne efter Schrems II-dommen).

3
7. april 2021 kl. 10:04

Jeg vil tillade mig at antage at det er "at rest" der er krypteret. Hvis det er tilfældet mener jeg ikke at det er tilstrækkeligt jvf EDBP

Use Case 6: Transfer to cloud services providers or other processors which require access to data in the clear</p>
<ol start="89"><li>In the given scenarios, where unencrypted personal data is technically necessary for the provision of the service by the processor, transport encryption and data-at-rest encryption even taken together,
do not constitute a supplementary measure that ensures an essentially equivalent level of protection if the data importer is in possession of the cryptographic keys.

https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf

Men det kan være jeg læser det forkert :thinking face:

2
7. april 2021 kl. 09:49

Betyder det så at AWS kun bruges som en storage løsning?

Ja, jeg spekulerede også på hvorfor de overhovedet bruger AWS hvis det bare er til storage. Der er billigere EU-alternativer. Det lyder lidt mærkeligt. Måske er de franske dommere blevet snydt.

Og kryptering er da fint, men da både IBM og Google har annonceret at de kan knække de mest almindelige med deres kvantecomputere, så skal man være lidt mere specifik.

I parantes bemærket, så ligger der en rapport på den franske statsministers bord, der viser hvor gennemhullet det franske retsvæsen er blevet af amerikanske firmaer og lobbyister. Det anbefales at svække ikke-EU selskabers adgang til at føre sager, så vidt jeg husker. Nu ved vi måske hvorfor.

1
7. april 2021 kl. 08:59

Data er nemlig ikke bare krypterede. Krypteringsnøglen bliver opbevaret hos en betroet fransk tredjepart og ikke af amerikanske AWS. Dermed er døren til data ikke bare låst - nøglen er også gemt væk, og det vurderede retten var vigtigt i denne sammenhæng.

Betyder det så at AWS kun bruges som en storage løsning?

Hvis nøglen til dekryptering af data kommer til AWS's kendskab, så kan den aflyttes. Hvis NSA er interesseret i data, skal de så ikke bare bede om udlevering men om assistance til at aflytte nøglen.

Nogen der kender Doctolib løsningen?