johnny lüchau bloghoved

Er der råd i Rådet?

Igennem flere uger har vi hørt og set folk som Henning Mortensen fra Rådet for Digital Sikkerhed, rende rundt med armene over hovedet (bl.a. i Computerworld) i et forsøg på at vildlede os alle sammen til at tro, at nu kunne vi lovligt bruge de amerikanske cloud-leverandører.

Han har ikke været alene om det, men i kraft af titlen som formand for et råd som vi troede havde til formål, som der står i deres formålsparagraffer, at "...fremme et trygt og frit digitalt samfund for alle", har han haft adgang til medierne.

Det kunne være spændende at høre hvordan rådets formand mener vi bliver mere trygge af at vores personlige og følsomme oplysninger, sendes til amerikanske efterretningstjenester, som sender dem videre til andre skumle tjenester, f.eks. i Mellemøsten.

Når Rådet kæmper så hårdt for at fremme de amerikanske tech-firmaers interesser, på bekostning af borgernes grundlæggende rettigheder, hvordan flugter det så med at "...fremme et trygt og frit digitalt samfund for alle." Jeg føler mig hverken tryg eller fri, så længe jeg ikke ved hvem der snager i mine personlige oplysninger.

Rådet er en helt privat forening, som man kan betale for at være med i. De hævder endvidere at de "... opfylder [deres] formål uden instruktion fra offentlige eller private aktører, og er ikke bundet af kommercielle interesser." Hvis man så tager et kig ned over medlemslisten, så klinger den påstand meget hult.

Er jeg den eneste der synes at det er mærkeligt at medlemsskaren indbefatter Microsoft og flere af deres loyale partnere?

Game Over

Torsdag 24.6 holdt Rådet så et webinar hvor dets formand havde inviteret Allan Frank fra Datatilsynet til, som Henning Mortensen skrev på LinkedIn at: "... afdække rækkevidden af mulighederne for at komme uden om de supplerende foranstaltninger."

En ret klar udmelding, som understøtter opfattelsen af at Rådet bare har til hensigt at finde juridiske smuthuller i GDPR og de nye instrumenter, så man kan fortsætte med at sende borgernes data afsted til usikre tredjelande, hvilket i Henning Mortensens optik åbenbart medvirker til at "...fremme et trygt og frit digitalt samfund for alle".

Under webinaret fik vi, hvad der for mig var noget helt nyt, nemlig en klar udmelding fra Datatilsynet:

Chancerne (jeg ville have brugt ordet 'risikoen') for at finde juridisk støtte for at bruge amerikansk-ejede databehandlere, er spinkle, for ikke at sige ikke-eksisterende.

Det er det det tætteste vi kan komme på en total afvisning af brugen af amerikanske leverandører som databehandlere, fra en jurist. Hvilket jo altså også er det som EU Domstolen sagde lige så tydeligt i 2020.

Endvidere mindede Allan Frank om at Datatilsynet begynder at kigge forbi i efteråret, så det ville være en god ide at begynde planlægningen af sin transition til lovlige udbydere.

Illustration: Johnny Lüchau

Opfordring

Rådet for Digital Sikkerhed har højlydt agiteret for lovbrud og handlet stik imod deres egen formålsparagraf. De kan ikke påberåbe sig uvidenhed, usikkerhed eller endda inkompetence, for de skriver om sig selv: "Rådet for Digital Sikkerhed besidder og inddrager højt specialiseret viden og erfaringer om informationssikkerhed og privatlivsbeskyttelse."

Mange rigtige eksperter har for længst været ude med samme konklusion som Datatilsynet.

Jeg ved at der blandt Rådets medlemmer befinder sig ordentlige folk, som ikke deler Henning Mortensen og de amerikanske tech-firmaers holdning til hvem der skal kunne snage i andre menneskers personlige oplysninger.

Jeg vil opfordre disse personer til at få ryddet op i deres organisation.

Samtidigt så synes jeg det ville være passende at en eventuel ny formand træder frem på samme offentlige måde som Henning Mortensen, og klart støtter op om at beskytte danskernes privatliv mod cyber-overgreb, også når de kommer fra vest.

Hvis ikke det sker, så kan jeg ikke se hvordan Rådet for Digital Sikkerhed nogensinde vil kunne blive taget seriøst igen.

(Del gerne indslaget)

Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Børge Svingalius

Det er fandme i orden at starte sin weekend med at læse velfunderet, kritisk galde der gør op med uhensigtsmæssige forestillinger i hovederne på magtfulde mennesker.

Så bliver jeg glad og fortrøstningsfuld, og vigtigst af alt inspireret til at tage konstruktiv aktion mod de forestillinger og de kulturer, som de fleste desværre er rimeligt ligeglad med, men hvis konsekvenser risikerer at ramme dem alligevel.

Tak.

  • 37
  • 0
#2 Jørgen Elgaard Larsen

Hej Johnny

Din kritik af Rådet for Digital Sikkerhed og især Henning Mortensen forekommer temmelig skarp.

Jeg finder den er yderst berettiget.

Det er godt at høre, at Datatilsynet melder så klart ud. Jeg håber, at kommuner og andre aktører hører efter.

  • 15
  • 0
#4 Christian Richter-Pedersen

.....kunne man læse følgende overskrift på Computerworld: "Schrems II-problemerne er blevet løst: Sådan bliver det nu muligt at anvende cloud-tjenester i USA"

Her giver Henning Mortensen en række forklaringer, som efter min opfattelse ikke står i tråd med den netop udgivede recommendation fra EDPB. Artiklen beskriver således igen en meget risikobaseret tilgang til vurderingen om den ene eller anden leverandør i et usikkert tredjeland kan anvendes.

Imidlertid indstiller EDPB til en objektiv vurdering baseret på empiriske data og ikke tænkelige events eller risiko. side 19: "Objective information: is information that is supported by empirical evidence based on knowledge gained from the past, not assumptions about potential events and risks."

Søg f.eks. på " Microsoft FISA", så får man en fin oversigt leveret af Microsoft selv hvoraf der fremgår hvordan Microsoft har udleveret data "accounts" til de amerikanske myndigheder siden 2011.

https://www.microsoft.com/en-us/corporate-responsibility/us-national-sec...

Det må være rigeligt med empiriske data til at dømme Microsoft ude. Intet er blevet løst og intet er blevet nemmere....hvis man vil bruge amerikanske leverandører.

  • 6
  • 0
#6 Johnny Lüchau Blogger

Man kan sige at usikkerheden er væk nu, hvilket er godt. Man kan ikke længere være i tvivl om hvorvidt man lovligt kan sende borgernes/kundernes data til amerikanske databehandlere.

Problemet er netop at folk som Mortensen, som tydeligvis ikke arbejder i henhold til hans Råds formålsparagraf, skaber usikkerhed.

Anyway, EU Domstolen har talt, EDPB har talt, Datatilsynet har talt og de har alle sagt det samme: Det er slut for de amerikanske udbydere.

Så nu skal man i gang med at finde alternativer.

  • 5
  • 0
#7 Malthe Thiesen

Det har været officielt i et stykke tid efterhånden. Senest med denne fra EDPB: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/reco...

Er i øvrigt også min oplevelse, at langt de fleste (nærmest alle): "... eksperter [..] for længst været ude med samme konklusion som Datatilsynet."

Kan anbefale at se hele webinaret som jeg har linket til. Hvis man har travlt er det ca. 43 min. inde Allan Frank fra Dattilsynet siger noget i retning af nedenstående:

"Chancerne for at finde juridisk støtte for at bruge amerikansk-ejede databehandlere, er spinkle, for ikke at sige ikke-eksisterende."

  • 3
  • 0
#11 René Løhde

"Jeg ved at der blandt Rådets medlemmer befinder sig ordentlige folk, som ikke deler Henning Mortensen og de amerikanske tech-firmaers holdning til hvem der skal kunne snage i andre menneskers personlige oplysninger, så jeg vil opfordre disse personer til at få ryddet op i deres organisation. Samtidigt så synes jeg det ville være passende at en eventuel ny formand træder frem på samme offentlige måde som Henning Mortensen, og klart støtter op om at beskytte danskernes privatliv mod cyber-overgreb, også når de kommer fra vest."

...du forsøger simplethen at lave "cancel culture" på formanden ...i en PRIVAT interesse organisation ...som du helt frit, selv kan melde dig ind i?

  • 1
  • 6
#12 Johnny Lüchau Blogger

Tja, jeg opfordrer bare til handling blandt de medlemmer som allerede har betalt 10K for at være med i en forening der hævder at den har som mål at fremme denne dagsorden:

Danmark skal være et af de mest trygge digitale samfund i verden med konstant fokus på datas fortrolighed, tilgængelighed, integritet og høj grad af dataansvarlighed.

Når man så åbenlyst arbejder for at det skal være ok at sende folks personlige oplysninger til usikre tredjelande, i strid med GDPR (og i strid med EUs Charter, samt i strid med almindelig anstændighed), så er der i det mindste nogle af medlemmerne som erblevet bedraget. De er også blevet inviteret til at give høringssvar af EU. (Det bliver de ikke igen).

Og hvis ikke det er foreningens ledelse der udgør problemet, så er hele foreningen jo afsløret som et svindelnummer. En fake forening?

  • 10
  • 1
#13 René Løhde

Jeg kender ikke baggrunden for referencen: "Henning Mortensen fra Rådet for Digital Sikkerhed, rende rundt med armene over hovedet (bl.a. i Computerworld)", men jeg går ud fra at du tænker på https://www.computerworld.dk/art/256225/efter-microsofts-loefte-om-at-ho... ... og her er det Hening Mortensen citat, som jeg kan læse, møntet på at en cloud leverandør netop har committet til IKKE at flytte data ud af EU.

Jeg har svært ved at forstå hvorfor du opfordrer til en fyring af HM, når han tilsyneladende abonnerer på de samme tanker som dig, vedr. dataoverførelse til "usikre tredjelande".

  • 1
  • 2
#14 Johnny Lüchau Blogger

Amerikanske virksomheder kan ikke melde sig ud af amerikansk lovgivning lige som jeg ikke kan melde mig ud af dansk skattelovgivning. Øv :-)

Hvor data befinder sig er, og har altid været, irrelevant. Det drejer sig udelukkende om hvem som kan tilgå data og den amerikanske regering har lovhjemmel til at høste alt hvad amerikanske selskaber har adgang til.

Løfter ændrer ikke på noget.

  • 6
  • 0
#16 René Løhde

Ok, så du opfordrer til en HM fyring, fordi han offentligt mener at IT-afdelinger kan bruge (mindst) en amerikansk hoster/cloud leverandør, uden at det nødvendigvis bringer dem på kant med loven!?

PS.

Tilgiv mig hvis jeg er forvirret, når jeg læser din kommentar...

"Hvor data befinder sig er, og har altid været, irrelevant. "

...i kontekst af din egen blog tekst:

"Rådet bare har til hensigt at finde juridiske smuthuller i GDPR og de nye instrumenter, så man kan fortsætte med at sende borgernes data afsted til usikre tredjelande..."

  • 0
  • 3
#17 Johnny Lüchau Blogger

Jeg opfordrer rådets medlemmer til enten at blive enige om at følge deres formålsparagraffer og indsætte en formand som er villig til at overholde disse, eller være ærlige og indrømme at de er en fake forening, der arbejder for tech-giganternes interesser.

Resten af din kommentar forstår jeg ikke.

  • 5
  • 0
Log ind eller Opret konto for at kommentere