jesper løffler

Schrems II i et IT-retligt perspektiv: Når jurister forsøger at sætte landegrænser på internettet

Da jeg kom tilbage på kontoret efter en velfortjent ferie, kunne jeg se på adskillige opdateringer i mit LinkedIn-feed, at EU-Domstolen d. 16. juli traf afgørelse i den såkaldte "Schrems II-sag".

Det er da også en skelsættende sag, der principielt set er relevant for alle danske myndigheder, virksomheder og foreninger - i hvert fald dem, som har data liggende et sted "i skyen" eller på anden måde "overfører" data ud af EU.

Jeg mener, at det er for tidligt at komme med konkrete anbefalinger til handling nu og her, og jeg vil i stedet flyve op i helikopteren og anskue afgørelsen fra højere luftlag: Sagen er nemlig et eksempel på, at det næsten altid går galt, når lovgivere eller dommere forsøger at opsætte landegrænser på internettet.

Kort om Schrems II

Sagens baggrund og afgørelsen

Selvom fokus for dette indlæg vil være mere overordnet, vil jeg indledningsvis kort sætte scenen for sagen:

Sagen hedder "Schrems II", fordi det er den 2. sag anlagt af privatlivsforkæmperen Max Schrems, og i begge sager gik klagen specifikt på Facebook og virksomhedens overførsel af personoplysninger til USA. I den første sag lykkedes det Schrems at få underkendt den daværende særaftale mellem EU og USA kaldet "Safe Habor", og i den seneste sag lykkedes det også for Schrems at få underkendt efterfølgeren til Safe Harbor, kaldet "Privacy Shield".

Underkendelsen har ikke kun betydning for Facebook, men for en lang række US-virksomheder (5.375 US-virksomheder er certificeret under ordningen), og alle disse virksomheder er nu igen sidestillet med virksomheder i andre lande udenfor EU.

Dernæst forholdt Domstolen sig også til lovligheden af et andet overførselsgrundlag i forordningen, nemlig de såkaldte SCC'er (på dansk: EU Kommissionens standardklausuler), som næsten alle de store tech-giganter bruger som "ekstra" overførselsgrundlag oveni Privacy Shield. Det er særligt de nye "krav" til brugen af disse, som mange kommentatorer lægger vægt på og opfordrer til øjeblikkelig handling fra alle berørte danske myndigheder og virksomheder, herunder at tage stilling til de relevante landes lovgivning, myndighedernes overvågning, genforhandling af SCC'er med henblik på at kræve "supplementary measures" osv.

Foreløbige konklusioner

Jeg vil som sagt afholde mig fra at fremsætte endelige konklusioner om, hvad man som dansk dataansvarlig bør gøre, men blot komme med nogle foreløbige konklusioner:

  • Overordnet mener jeg, at det er forståeligt og positivt, at USA's særaftale bliver underkendt - det var intet andet end "politisk trylleri", hvorved EU-Kommissionen kunne lade som om, at US-virksomheder rent faktisk kan tilbyde samme niveau af beskyttelse som i EU, selvom USA ikke er i nærheden af at blive godkendt som "sikkert tredjeland".

  • Det er i udgangspunktet også positivt, at EU-Domstolen sætter en stopper for den papirøvelse, som brugen af SCC'er hidtil har været. Afgørelsen er således helt på linje med, at der med vedtagelsen af GDPR også blev indført et princip om "ansvarlighed", som b.la. indebærer, at man som dataansvarlig skal gøre en reel og dokumenteret indsats for at overholde kravene - og altså ikke bare lave nogle dokumenter, lægge dem i skuffen og glemme alt om dem.

  • Men, efter min opfattelse giver det absolut ingen mening, at danske myndigheder, virksomheder og foreninger skal forholde sig til tilstrækkeligheden af lovgivningen i USA, eller i andre lande for den sags skyld. Jeg mener endda ikke engang, at det er noget, de enkelte nationale Datatilsyn bør bruge ressourcer på at vurdere individuelt, da det klart er en opgave, der hører hjemme i EU's centrale organer, fx EU-Kommissionen og Databeskyttelsesrådet.

Sidstnævnte har da også offentliggjort en foreløbig FAQ, samt varslet mere vejledning. Og parallelt hermed arbejder EU-Kommissionen også på højtryk for at "lappe hullerne", både i form af en i forvejen igangværende revision af SCC'erne samt evt. indlede en ny forhandling med USA om en ny og bedre særaftale.

Som mange kommentatorer også fremhæver, er det svært at komme udenom, at de fleste danske organisationer bør forholde sig til dommens konsekvenser og foretage nødvendige handlinger. Der er utvivlsomt også visse organisationer, som ikke kan undgå dette, og nok også allerede nu bør overveje handlemulighederne.

Det kunne fx være en dansk databehandler, der har indgået SCC'er med en ukrainsk eller indisk underdatabehandler, og hvor man ikke kan forvente at sidstnævnte selv får styr på dommens konsekvenser. For så vidt angår alle andre, herunder "almindelige" dataansvarlige kunder, der direkte eller indirekte benytter store amerikanske databehandlere, har man, som jeg ser det, tre handlemuligheder nu og her:

1) Man kan bruge de kommende uger på at gennemgå sin liste over databehandlere og underdatabehandlere og starte fra en ende af med at kime Microsoft ned og kræve en vurdering af US-lovgivningens konsekvenser for de MS-tjenester, der er underlagt hhv. Privacy Shield og/eller SCC'er, og, afhængigt af svaret, omgående kræve "supplementary measures", fx ændring af deres Online Service Terms, hvori SCC'erne er indarbejdet. Herefter kan man så fortsætte med Amazon, Mailchimp, Dropbox, Slack, Trello osv.

2) Man kan opsige alle de aftaler, som direkte eller indirekte indebærer tredjelandsoverførsler, og (forsøge at) finde rene EU-baserede alternativer.

3) Man kan tage det roligt, og satse på at fornuften sejrer.

Fugleperspektivet: Databeskyttelsesreglerne og landegrænser

Som sagt vil jeg bruge resten af mit indlæg på at sætte afgørelsen ind i en større kontekst, herunder en historisk kontekst ift. databeskyttelsesreglernes og teknologiens udvikling de seneste 30 år. Afgørelsen er således først og fremmest et udtryk for, at EU's databeskyttelsesregler er baseret på en forudsætning om geografisk afgrænsning, nærmere bestemt grænsen rundt om EU.

Særlige krav ved "overførsler til tredjelande"

GDPR er således baseret på et grundlæggende princip om fri bevægelighed for personoplysninger indenfor EU, hvorimod nogle særlige krav skal være opfyldt, hvis man "overfører" oplysninger udenfor EU. Hvis man er interesseret, kan man læse nærmere om de særlige krav i Datatilsynets vejledning om tredjelandsoverførsler.

På overfladen giver ordningen god mening: Alle myndigheder og virksomheder i EU er underlagt de strenge krav i GDPR, hvorimod det samme ikke er tilfældet udenfor EU. I det lys giver det i udgangspunktet god mening at stille særlige krav ved "overførsler" ud af EU - eller rettere: Konstruktionen gav rigtig god mening, da den først blev udtænkt.

Hvad er en "overførsel"?

Selve konstruktionen med "indenfor" og "udenfor" EU stammer således fra GDPR's forgænger, persondatadirektivet fra 1995. På det tidspunkt var internettet kun i sin spæde begyndelse, og der var derfor tale om ganske få tilfælde, som rent faktisk ville blive omfattet af reglerne, fx hvis transmission af personoplysninger via fax eller disketter sendt med fysisk post. Reglerne var derfor baseret på en forudsætning om, at overførsler ud af EU ville være udtryk for en meget bevidst og ekstraordinær handling.

Da internettet begyndte at blive udbredt, opstod de første tvivlsspørgsmål, og i 2003 afsagde EU-Domstolen dom i Lindqvist-sagen, hvori det blev konkluderet, at der ikke er tale om "en overførsel til et tredjeland", hvis man lægger personoplysninger ud på det åbne internet.

Nogle senere i 2007 blev det i en afgørelse fra Datatilsynet (J.nr. 2007-214-0004) konkluderet, at der også er tale om en overførsel, hvis en databehandler udenfor EU via internettet gives adgang til en server med oplysninger, også selvom databehandleren ikke har "adgang til at lagre, printe mv." (eller som Datatilsynet skriver i deres vejledning: "se-adgang" er nok).

Overførselsbegrebet er med fremkomsten af cloud, IoT osv. blevet endnu mere udvandet og vanskeligere at arbejde med. Det var således også bl.a. "lokaliseringsproblemer", der gav anledning til, at Datatilsynet i sin tid afviste, at Odense Kommune (og dermed også alle andre kommuner) kunne anvende Google Apps. Det var i øvrigt først da Google fik indarbejdet SCC'er i sine vilkår, at en anden kommune fik held med at få godkendt Google som leverandør - selvsamme SCC'er, som nu er blevet udfordret af Schrems II-afgørelsen...

Sidst men ikke mindst kompliceres tingene yderligere af, at det end ikke er nok at have styr på, hvor serveren er placeret og/eller hvor udbyderen er hjemmehørende. Såfremt ens leverandør eller underleverandør baserer deres tekniske support på "follow the sun"-princippet, betyder det, at selvom ens data ligger på et datacenter i EU, så skal man stadig overholde de særlige krav for tredjelandsoverførsler, hvis ens leverandør, eller underleverandør, fx har teknisk support i asien. Det scenarie opstår ofte i praksis, og man kan således hurtigt komme i problemer, hvis man ikke ser sig for.

Se fx Region H's problemer ift. Sundhedsplatformen, eller sedatatilsynets kritik ift. EG's brug af ServiceNow som underdatabehandler

Så: De fleste af vores data "overføres til tredjelande"...?

Opsummerende kan det altså konkluderes, at man omfattes af de særlige krav til tredjelandsoverførsler, hvis man 1) benytter en ikke-EU databehandler med udenlandske servere, 2) benytter en EU-databehandler, som selv eller via en underdatabehandler placerer data på en server udenfor EU, 3) uanset om serveren er placeret indenfor EU, hvis personer udenfor EU har adgang til data på serveren, uanset niveauet af redigerings- og administratorrettigheder, 4) hvis man aktivt sender oplysningerne til modtagere udenfor EU, fx hvis man sender en mail med medarbejderoplysninger til et amerikansk moderselskab.

Og så er vi tilbage ved forklaringen på, hvorfor Schrems II-sagen (principielt set) er relevant for så mange: Selv hvis dine data ligger hos en dansk leverandør, så bruger denne leverandør ofte en udenlandsk underleverandør, og selv hvis dine data ligger på et datacenter i EU, så kan fx anvendelsen af "follow the sun"-support føre til, at de særlige regler om tredjelandsoverførsler alligevel skal overholdes.

Mig bekendt er der ikke officielle tal på det, men eftersom alle de store US-techgiganter er berørt, så må det antages, at det %-vis er størstedelen af danske data, som er omfattet af de "særlige" krav. Og det har altså aldrig været meningen, hvorfor der nu er tale om en så kompleks problemstilling, at den bør løses på et politisk plan.

Desværre er lige præcis disse regler ikke noget, vi selv kan ændre på fra dansk side, så vi må nok desværre affinde os med, at man på EU-plan finder en bedre løsning end den nuværende.

Måneperspektivet: Retssystemet og geografisk afgrænsning på internettet

Til sidst vil jeg flyve endnu højere op, nemlig så højt op, at man får overblik over ikke bare databeskyttelsesretten, men hele retssystemet. Og fra den højde kan man konstatere, at GDPR langt fra er det eneste regelsæt, som har udfordringer med at tilpasse sig til internettets globaliserede verden.

Siden 1990'erne har vi således set tilsvarende udfordringer på andre retsområder, fx strafferetten (hvilken betydning har hhv. hackerens og serverens placering for hvilke(t) lande der må straffe en hacker?), ansvar og injurier (må en australsk person sagsøge en amerikansk onlineavis ved de australske domstole?), jurisdiktion og fuldbyrdelse (kan en dansk domstol tvangsmæssigt lukke ned for en udenlandsk hjemmeside eller server? Eller kan de amerikanske myndigheder tvinge Microsoft til at udlevere oplysninger fra servere, som står på EU-grund?) osv.

Det var netop det perspektiv, jeg anlagde i min phd-afhandling fra 2016 (herunder i kapitel 6 om "Geografisk afgrænsning på internettet"), og min overordnede konklusion var, at vi kan lære meget om udfordringer i kølvandet på nye teknologier ved at skele til andre retsområder, som har været berørt af samme udfordringer.

Anlægger man dette "måneperspektiv", vil det stå klart, at Schrems II på et helt overordnet plan er udtryk for, at der i det internationale samfund endnu ikke er opnået enighed og klare retningslinjer for afgrænsning af staters suverænitet og jurisdiktion på internettet. Det kan måske virke overraskende i lyset af, at internettet nu har været udbredt i mere end 20 år, men det er rent faktisk ekstremt kort tid i lyset af, at det fx har taget adskillige hundrede år at udvikle folkeretlige principper for suverænitet ift. fx landjord og på havbunden. Så, vi må nok vente nogle årtier endnu inden der kommer en klar løsning fra den kant.

Afrunding: Mulige løsninger for GDPR et sted i horisonten?

Der er dog nogle retsområder, hvor man har fundet en fornuftig løsning, selvom folkeretten endnu ikke har tilpasset sig internettets fremkomst.

Fx findes der områder, hvor man i stedet for en juridisk løsning har fundet en teknisk løsning. Og vender vi blikket tilbage til Schrems II igen, så kunne det rent faktisk godt være en mulighed: I dette blogindlæg fra en britisk GDPR-specialist foreslås det således, at kryptering kan udgøre en væsentlig del af løsningen på de problemer, som Schrems II-afgørelsen har givet os. Forfatteren har skrevet en hel bog om emnet, som jeg endnu ikke har haft tid til at nærlæse. Budskabet er dog under alle omstændigheder godt i tråd med, at en række EU-organer kort før Schrems II-afgørelsen afholdt en workshop med fokus på muligheder og begrænsninger ift. brug af kryptering under GDPR .

Så, måske det i visse situationer vil være muligt at kryptere de data, man lægger i skyen, og herved forhindre databehandleren, og afledt heraf også myndighederne i databehandlerens hjemland, i at kunne tilgå personoplysningerne, og at dette vil kunne udgøre "supplementary measures" som påkrævet af EU-Domstolen? Eller måske man endda kunne argumentere for, at der juridisk set slet ikke er sket en "overførsel", hvis ikke der er nogen i "importlandet", der kan tilgå personoplysningerne?

Mens jeg tygger videre på disse spørgsmål og i øvrigt afventer nyt fra EU, hører jeg meget gerne, hvis nogle af V2's læsere har en kommentar til forslaget fra et teknisk perspektiv, enten i kommentarsporet nedenfor eller send en mail til jln@focus-advokater.dk.

Fortsættelse følger...

Relateret indhold

Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Valdemar Mørch

Igen læser jeg om disse SCCer...

Er der nogen der kan forklare mig hvordan SCCer kan have nogen relevans, når nu NSA med Cloud Act beføjelser kan se alle data på alle servere ejet af amerikanske virksomheder i hemmelighed uanset om serverne måtte stå i EU? Er det nogen der givet historien tvivler på at dette rent faktisk foregår i massiv skala?

Som jeg naivt forstår det, kan man pga. cloud act ikke overholde GDPR og benytte tjenester udbudt af amerikanske virksomheder samtidig. Hvor er hullet i min forståelse? Hvordan kan disse SCCer ændre på at NSA kunne være totalt ligeglad med dem uden at vi kan opdage det?

https://en.m.wikipedia.org/wiki/CLOUD_Act

  • 10
  • 0
#2 Jesper Løffler Nielsen Blogger

@ Peter - dit spørgsmål rammer lige ned i sagens kerne: 1) Cloud Act, som er en udløber af den Microsoft-sag jeg linker til ovenfor, er et eksempel på, at det endnu ikke er opnået enighed i det internationale samfund ift hvor grænsen for en stats magtudøvelse går på internettet, 2) jeg er også enig i at Cloud Act er vanskelig at forene med GDPR, men en løsning skal jo findes, 3) pt er det svært at sige noget endeligt om løsninger, men det mest realistiske bud er en politisk aftale mellem EU og USA, og den må jo nødvendigvis også adressere Cloud Act, og 4) i mellemtiden rejser jeg spørgsmålet om vi som danske dataansvarlige evt kan kryptere vores data på US-virksomhedernes servere, og derved afskære USA’d myndigheder fra at tilgå indholdet?

  • 2
  • 0
#4 Troels Just

Én ting vi, i hvert fald, med sikkerhed kan sige om kryptering er, at den i givet fald vil skulle foretages her i EU inden at overførslen finder sted fordi, hvis selve krypteringen foretages på en amerikansk cloud-server er både data og krypteringsnøglen sendt til USA og så er det game over fra starten.

Med andre ord vil man kunne bruge f.eks. amerikanske lagrings-tjenester, men ikke amerikanske "computation"-tjenester. Man vil derfor skulle anlægge en del af sin applikations infrastruktur her i EU.

Hvis jeg husker ret har Frankrig talt om, at EU bør støtte opbygningen af europæiske alternativer til de store amerikanske giganter. Når vi taler om politisk handling er dette måske et meget godt tidspunkt til, at overveje statslig støtte og investeringer, f.eks. via den Europæiske Investeringsbank, i netop sådanne intiativer og samtidig opsætte værn imod senere opkøb af disse fra enten amerikansk eller, måske endnu vigtigere, kinesisk side.

  • 10
  • 0
#6 Peter Valdemar Mørch

@troels skrev:

Hvis jeg husker ret har Frankrig talt om, at EU bør støtte opbygningen af europæiske alternativer til de store amerikanske giganter. Når vi taler om politisk handling er dette måske et meget godt tidspunkt til, at overveje statslig støtte og investeringer, f.eks. via den Europæiske Investeringsbank, i netop sådanne intiativer og samtidig opsætte værn imod senere opkøb af disse fra enten amerikansk eller, måske endnu vigtigere, kinesisk side.

I stedet for at støtte udviklingen af dem kunne man måske hellere sige:

Fra 2023 må ingen statslige eller kommunale myndigheder eller firmaer der har kontrakter med statslige eller kommunale myndigheder benytte closed-source "computation"-tjenester udbudt af firmaer uden for EU. Dvs:

  • Office 365
  • Android / IOS
  • Windows
  • Zoom / Slack etc.
  • AWS / Azure / GCP ud over storage som S3 buckets, OneDrive så længe data krypteres ved kilden

Så skal der nok komme open-source eller europæiske alternativer. Det er jo det Kina har gjort, og diverse EU politikere er jo i andre sammenhænge glade for at kopiere kinesiske fremgangsmåder :-)

  • 11
  • 0
#7 Nicolaj Rosing

En af løsningerne kunne tilsynelande være en mere udbredt brug af Binding Corporate Rules (BCR) selvom det er en tung opgave at løfte for mindre virksomheder og kun 'løser' en delmængde af problemerne. Ofte går samarbejde på tværs af ikke bare statsgrænser men også andre virksomheder hvor BCR så ikke hjælper meget.

Helt grundlæggende synes problemet at være, nøjagtig som forfatteren beskriver det, at den informationsteknologiske udvikling i virkeligheden er i eksplosiv vækst sammenlignet med de øvrige mekanismer der skal beskytte borgerne i samfundet imod kaos. Jeg beskæftiger mig med IT sikkerhed, hvor 'simplicity' og 'transparancy' er vigtige elementer i at sikre IT systemer. Problemet med privacy (lovgivningen forstås) er, at området er karakteriseret ved at være uhyre kompliceret. Samtidig er branchen belastet af lykkeridere, som for virksomhederne kan være svære at gennemskue, men som blot gerne vil pryde sig med titler (og lønninger) som DPO og CPO; for slet ikke at tale om de mange jurister der gennem årene har spundet guld på GDPR rådgivning.

Jamen når nu juraen er blevet for indviklet til at nogen kan forstå nogetsomhelst så lad os kaste os over de tekniske løsninger.... kryptering! Privacy by default! - GDPR art 25. Det virker altid. Men som Kuan (GDPR specialisten) rigtigt anfører så fører de tekniske løsninger ofte til en række nye problemer vi skal tage stilling til. Hvem har og skal have adgang til nøglen? Er nøglen lang nok? Hvad hvis vi har brug for at gemme data i lang tid, kan man så regne med at selve krypteringsalgoritmen er god nok? DES blev brugt indtil AES var frigivet (med Tripple DES som mellemløsning). Data krypteret med DES anses idag ikke for tilstrækkeligt sikre. Tilsvarende er udviklingen af kvantecomputere i fuld gang og snart vil de krypteringsalgoritmer der typisk anvendes til nøgleudveksling måske kunne brydes på et splitsekund. Tekniske løsninger gør det således sjældent alene hvilket indenfor IT sikkerhed er en kendt sag. Der er brug for mere klarhed i lovgivningen. Jurister må forstå at tekniske løsninger ikke altid er deres redning når juraen bliver for kompliceret.

Emnet er tungt men jeg glæder mig til at læse fortsættelsen...

  • 3
  • 0
#8 Peter Valdemar Mørch

@jesper:

Bare lige så jeg er med: Er “lagrings-tjenester” det jeg vil kalde en IaaS-løsning, såsom Azure og AWS, og "computation"-tjenester” det jeg vil kalde SaaS, såsom O365, Mailchimp, Trello mv?

AWS / Azure / GCP er jo både rå lagring ( i form af S3 buckets, OneDrive mm) og computation (i form af virtuelle maskiner, kubernetes clusters mm). Og det vil så kun være lagring der kan benyttes, så længe data krypteres ved den europæiske kilde. Hvis der benyttes computation vil data være tilgængelig for NSA i dekrypteret form hviklet er uacceptabelt.

  • 6
  • 0
#9 Jan Rørgaard Hansen

Et konkret eksempel fra folkeskolen kunne være SkoleTube, hvor elever og læreres brugerdata gemmes på servere i Danmark, men produktionsværktøjerne til videoredigering mv. ligger i USA.

SkoleTube har sikret sig, at brugerdata (navn, login etc.) ikke sendes til USA og gjort det klart, at persondata ikke bør lægges i SkoleTube, men eleverne stilles opgaver, hvor de skal inkludere persondata, som via værktøjerne sendes til USA og bla. gemmes i AWS.

Her har SkoleTube lavet en løsning der kan fungere, men når lærerne fra 3. klasse stiller opgaver om at filme sig selv og fortælle om familie og mere følsomme ting i stedet for at opgaver om naturen etc. så er det ikke den tekniske løsning den er gal med. De aftaler der er indgået mellem kommune og SkoleTube er ikke tilgængelige og heller ikke kommunikeret videre til skolerne.

  • 7
  • 0
#10 René Nielsen

Det er svært at spå om fremtiden, men jeg tror at EU “rykker sammen og fremad”.

EU har i perioder ikke fungeret særligt godt, men det eksterne pres fra især USA men også fra Kina og Asien gør at EU’s medlemslande bedre kan se fidusen i europæisk samarbejde. Jeg tror at EU vil rykke på en række områder.

Sikkerhed og forsvar vil være et område og især fordi Trump “smækker med døren” ikke kun over for Tyskland, men overfor stort set alle de gamle nato-lande.

Jeg er ret sikker på at EU allerede nu har nedsat en arbejdsgruppe som arbejder med styrkelse af IT-sikkerhed og efter at storbritannien har forladt EU, er der ikke nogen større EU lande som i samme grad som storbritannien aflytter.

Stille og roligt vil der komme krav fra EU som besværliggør eller ligefrem umuliggør overvågning fra f.eks. NSA og Kina.

Det er f.eks. krav om at data skal opbevares i EU, at stærk kryptering skal anvendes ved visse former for data, at der skal anvendes open source, at systemdesign for sociale medier skal fremlægges til revision imod overvågning, enorme bøder ved afvigelser, omvendt bevisbyrde når EU’s anbefalinger brydes af internationale virksomheder. Osv. osv.

EU vil ikke være bombastisk som verdens største geni, men stille og roligt vil man tvinge virksomheder til at lukke ned for overvågning (ikke kun amerikansk overvågning, men al overvågning udenfor EU).

Det vil ikke lykkes da det jo er essensen af spionage, men tiden med NSA blot specificer et interface som alle amerikanske virksomheder skal afleverer data i henhold til .... er forbi!

  • 5
  • 2
#11 Povl H. Pedersen

Nu er det vigtigt at huske på at lovgivning ofte er baseret på nationale økonomiske overvejelser. Se på grøn omstilling i DK. Støtten til solceller er næsten forsvundet da der ikke er mange danske solcellejob. Til gegæld har vi en stor vindmølleindustri, så nu får man de største støttekroner her, da man derved kan give statstilskud camoufleret som noget mere neutralt.

GDPR og de tidligere aftaler er lavet for at styrke EU virksomhederne på IT området. De er lavet for at hjælpe/give muligheder for europæiske virksomheder. Og for at sikre at amerikanske firmaer ikke kommer for langt foran i deres profilering.

Du skal ikke se GDPR som noget der alene skal beskytte individet, nej den højere mening er at hjælpe europæiske databehandlingsvirksomheder.

Og man må snart acceptere at ingen amerikanske virksomheder kan drive forretning i EU, da amerikansk lovgivning tilsidesætter al europæisk lovgivning. Og dette er fra lang tid før den gale præsident kom til.

  • 9
  • 0
#12 Troels Just

Hej Jesper.

Lagrings-tjenester kunne være f.eks. Amazons S3, men det kunne også være Dropbox eller OneDrive. Formålet med dem er at lagre data, og dit ræsonnement med kryptering giver god mening, hvis man krypterer dataene før de opbevares via disse tjeneste, fordi så har ingen af dem krypteringsnøglen, og selv hvis Dropbox gav dataene til NSA kan de ikke tilgås, hvis krypteringen er foretaget korrekt og forsvarligt.

Med "Computation" mener jeg både IaaS som Azure og AWS, men også SaaS som de tjenester du nævner, fordi samme udfordting er gældende med begge kategorier. Hvis man kunne bruge Microsofts online Word til at kryptere et dokument er det Microsofts servere der krypterer dokumentet, og dermed har Microsofts servere nødvendigivs krypteringsnøglen med mindre at det foregik i browseren, hvilket man ikke rigtigt kan dokumentere da programmet jo ikke er open source. Ligeledes med AWS, hvis man kører sin applikation på Amazons servere, og foretager krypteringen via dem, så er krypteringsnøglen allerede hos Amazon.

  • 4
  • 0
#13 Troels Just

@ Peter Valdemar Mørch

Som open source-fortaler igennem 16 år er jeg bestemt ikke uenig i dit forslag, og ifht. mange af de mest kendte SaaS-tjenester, som Dropbox, Zoom, Office 365 osv. har vi allerede et glimrende alternativ i Nextcloud og Collabora. :-)

  • 3
  • 0
#14 Bjarne Nielsen

Hvis de europæiske regler om databeskyttelse er uforenelig med amerikansk lovning (inkl. den mangeårige praksis med hemmelig lovning), så er det ikke noget, som to parter kan aftale sig ud af. To parter kan heller ikke aftale sig til at ignorere færdselsloven.

At amerikansk lovning og praksis var yderst problematisk blev allerede påpeget af flere parter før "Safe Harbour" blev skudt i sænk. Nu skulle man så tro, at det at "Safe Harbour" blev skudt i sænk, gjorde at man fik hovedet ud af buksen, men man rettede et par kommaer og kaldte det for "Privacy Shield" og fortsatte som hidtil.

Nu er "Privacy Shield" også skudt i sænk, og det er SCC i høj grad også, netop fordi at der er en grundlæggende inkompatibilitet imellem europæiske og amerikanske regler.

Hvis man handler i modstrid med gældende regler, og nu to gange har fået det skåret ud pap af den højeste domstol, så er det svært at se, hvordan man med rimelighed "... kan tage det roligt, og satse på at fornuften sejrer." Sådan set mener jeg nok, at dommen netop er udtryk for at fornuften har sejret, og det burde altså efter så mange år, ikke komme som en overraskelse. Det har ikke skortet på advarsler, så stop klynk over, at det skaber en umulig situation, og der er brug for overgangsordninger og tålmodighed.

Der er kun to veje, hvorved denne modstrid ville kunne løses: enten opgiver Amerika sine overvågningslov (inkl. de hemmelige), eller også opgiver Europa sine regler om databeskyttelse. Jeg kan ikke lige se det første ske; der er ingen troværdighed tilbage her. Jeg har også svært ved at se, hvordan Europa på deres side kan bøje sine regler tilstrækkeligt uden at komme alvorligt i modstrid med grundlæggende principper og konventioner.

Det er sådan at det er; accepter det dog, istedet for at blive ved med at tale udenom.

Med det sagt, så er jeg ikke et øjeblik i tvivl om, at mange bare vil vifte voldsomt med begge arme, henvise til komplicerede regler, som kræver fælles indsats, rette nogle kommaer, og så stikke hovedet ind langt i busken igen. Bl.a. set i lyset af, at en række at dette lands justitsministre (en længere og ubrudt række) ikke synes at det er nødvendigt at overholde love, som ikke bekommer dem vel, men vil gøre alt for at trække sager og klager i langdrag, mens man bare fortsætter med at gøre som det passer en (og her tænker jeg i særdeleshed på sagen om telelogninger).

  • 14
  • 1
#15 Dennis Benneballe Grade

Som Dansk Erhverv udlagde sagen, så ser de ikke nogen måde, hvorpå EU-virksomheder overhovedet kan fortsætte samarbejdet, selv med SCCer og "supplementary measurements" og vurderinger af retsvæsenet und so weiter.

Hvis Privacy Shield er nede, betyder det, at USA dermed er et usikkert tredjeland, men også, at der selv med SCCer ikke kan opnås samme niveau som derhjemme, i og med at der må være en grund til at Privacy Shield er blevet ugyldiggjort.

Citat fra Dansk Erhverv:

Om overførsel af persondata til USA overhovedet kan ske på baggrund af SCC må lige nu anses for at være højst tvivlsomt, idet EU domstolen ved at tilsidesætte Privacy Shield jo netop har slået fast, at beskyttelsesniveauet i USA er utilstrækkeligt.

Så gerne jeg end vil gøre noget for at imødekomme de nye krav, så må jeg nok indse, at jeg bør vente til USA og EU har lavet en aftale eller i det mindste indtil Datatilsynet/EDPS/EDPS/andre kom med gode vejledninger. Ellers fortaber man sig i fortolkninger af dommen, og stridigheder med leverandørerne. (Jeg kan fortælle at Google er blevet ret nervøse i deres svar overfor mig, siden jeg i mandags begyndte min undersøgelse af Google).

Vigtig, vil jeg mene, er at få italesat hos leverandørerne de amerikanske lovgivninger, som gør det vanskeligt for EU-virksomheder at forblive kunder hos amerikanske leverandører. Det vil forhåbentlig gøre nok larm fra det amerikanske erhvervsliv til at regeringen starter med at finde en løsning. Og derudover at stå fastgroet bag GDPR. Vi må ikke rykke os en milimeter her, vi må insistere på vores lovgivning og ikke tillade, at USA dikterer EU-lov og EU-principper. Og det indebærer, at vi skal prøve at holde os til EU-loven, så vanskeligt den nu er... men vores eget erhvervsliv er jo ikke altid så interesseret i det, til at starte med, så måske vi skal sætte ind dér også..

  • 6
  • 0
#16 Nicolaj Rosing

Du skal ikke se GDPR som noget der alene skal beskytte individet, nej den højere mening er at hjælpe europæiske databehandlingsvirksomheder

Hvorfor det?

Hvis man læser lovtekstens art 1 står der udtrykkeligt at loven er til for at beskytte individet: "This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data"

  • 4
  • 0
#17 Bjarne Nielsen

Der efterspørges tekniske løsninger til at få skyen til at fungere. Medmindre at man krypterer alt inden det forlader området (og så er det godt nok ikke meget ved "skyen"), så kan jeg umiddelbart kun komme i tanke om flg. muligheder:

  • AMDs Secure Encrypted Virtualization
  • IBMs arbejde med Fully Homomorphic Encryption

Og hverken det ene eller det andet kan siges at være en snuptagsløsning på udfordringerne.

...når man sover i timen, så får man ofte en brat opvågnen.

  • 6
  • 0
#20 Peter Valdemar Mørch

så må jeg nok indse, at jeg bør vente til USA og EU har lavet en aftale eller i det mindste indtil Datatilsynet/EDPS/EDPS/andre kom med gode vejledninger

Hvorfor det? Det skal en amerikansk lovændring til, hvor cloud act tilbagekaldes.

Indtil da, kan NSA m.fl. bare udstede hemmelige FISA ordrer til amerikanske virksomheder, som derefter skal adlyde og holde kæft om det. Uanset "aftaler" og EU lov.

  • 11
  • 0
#21 Nis Peder Bonde

@Nicolaj Rosing: Jo i forordningen selv står der selvfølgelig mange pæne (og rigtige, synes jeg) ord om privacy. Men det er værd at bemærke, at kommissionen allerede i 2012 - ved første fremlæggelse af GDPR - argumenterede med, at forordningen ville være helt central for at kunne etablere et digitalt indre marked. Så GDPR handler i høj grad også om penge!

Glem ikke, at EU jo lige nu er i krig (handelskrig) med USA, som dermed (økonomisk set) de facto er EU’s fjende. Jeg tænker, at Schrems II meget vel også kan være EU’s måde til meget belejligt at åbne en ny og længe planlagt it-front i denne krig. Og når elefanterne tramper (og Trump’eterer), så er hensyn til lidt ekstra bøvl i mange. danske virksomheders it-afdelinger, som i al hast ok skal omlægge til nye EU-ejede cloud-leverandører, næppe noget, som man vil tage ret meget hensyn til. “For the greater European good” så at sige...

  • 3
  • 0
#22 Jesper Lund

Men, efter min opfattelse giver det absolut ingen mening, at danske myndigheder, virksomheder og foreninger skal forholde sig til tilstrækkeligheden af lovgivningen i USA, eller i andre lande for den sags skyld. Jeg mener endda ikke engang, at det er noget, de enkelte nationale Datatilsyn bør bruge ressourcer på at vurdere individuelt, da det klart er en opgave, der hører hjemme i EU's centrale organer, fx EU-Kommissionen og Databeskyttelsesrådet.

Generelle vurderinger af om et tredjeland, eller visse sektorer/virksomheder inden for et tredjeland (som Safe Harbor og Privacy Shield), giver et tilstrækkeligt beskyttelsesniveau er tilstrækkelighedsvurderinger efter artikel 45. Det gøres af Kommissionen med mulighed for at EU-Domstolen senere kan annullere beslutningen.

En sådan tilstrækkelighedsvurdering har USA ikke længere. Det er muligt at der kommer en ny tilstrækkelighedsvurdering fra Kommissionen (Trump Shield, eller whatever), men det bliver svært. Privacy Shield bliver underkendt med præcist de samme argumenter som Safe Harbor (en efterretningslovgivning, specielt FISA 702, som ikke er tilstrækkelig afgrænset og målrettet samt manglen på adgang til effektive retsmidler for ikke-amerikanske personer), så Kommissionen har virkelig ikke gjort sit arbejde ordentligt med Privacy Shield i 2016.

Hvis overførselsgrundlaget er standardkontraktbestemmelser (SCC), kan jeg ikke se hvordan du vil komme uden om, at den enkelte dataansvarlige skal tage stilling til om overførslen er omfattet af fornødne garantier? Selvfølgelig kan EDPB og de europæiske datatilsyn lave vejledninger, og det vil de givetvis gøre, men i den situation hvor der ikke er en tilstrækkelighedsvurdering for modtagerlandet (artikel 45) vil det uundgåeligt være en case-by-case vurdering, der som minimum omfatter

  1. Lovgivningen i modtagerlandet som er gældende for den specifikke dataimportør (specielt den meget konkrete obligatoriske vurdering i præmis 141: en lovgivning som går videre end hvad der er strengt nødvendigt efter europæiske standarder skal anses for en tilsidesættelse af standardkontraktbestemmelser)
  2. Andre midler eller yderligere garantier til at beskytte overførslen (fx kryptering)
  3. Karakteren af de personoplysninger som overføres (der er nok en bundgrænse et godt stykke under Facebook-niveau for hvornår punkt 1 bliver et problem)

Der er så mange muligheder her, at det vil være umuligt for EDPB eller andre at lave en vejledning som dækker samtlige case-by-case tilfælde.

Det er bestemt ikke en simpel opgave, som den dataansvarlige er blevet pålagt (i samarbejde med dataimportøren i tredjelandet). For USA står det klart, at FISA 702 og EO 12.333 er lovgivning som går videre end hvad der er strengt nødvendigt, og den registrerede (borgeren i EU) har ikke adgang til at håndhæve sine rettigheder i USA (adgang til effektive retsmidler). Men ikke alle virksomheder er omfattet af FISA 702 ("kun" electronic communication service providers), så allerede her har vi et element i case-by-case vurderingen.

Det har krævet betydelige ressourcer at lave disse juridiske vurderinger, ingen tvivl om det. Der er mange siders tekst i grundlaget for Privacy Shield (de mange bilag) og retssagerne i Irland mellem DPC og Schrems (især den irske retssag [2017] IEHC 545, der sendte spørgsmålene i Schrems II til EU-Domstolen), hvor omfanget og rækkevidden af USAs efterretningslovgivning er vurderet temmelig grundigt.

Kinas lovgivning er sikkert endnu sværere at vurdere, hvis nogen kunne få den idé at sende personoplysninger fra EU til Kina (måske TikTok, der nu er etableret i Irland, og bruger SCCs; det er dog uklart om tredjelandet er USA eller Kina).

Der er bare ikke nogen vej uden om, når EU-Domstolen har fastslået at den dataansvarlige har ansvaret for at sikre, at databeskyttelsen efter EU-niveau ikke undermineres når personoplysningerne overføres til et tredjeland. Når den dataansvarlige ikke kan forlade sig på en tilstrækkelighedsvurdering (artikel 45) fra Kommissionen, er det nødvendigt med en case-by-case vurdering af den konkrete overførsel, herunder de yderligere garantier (udover standardkontraktbestemmelserne) som er anvendt i den konkrete overførsel.

Hvis vi taler om "cloud industri" databehandlere, kan den dataansvarlige relativt smertefrit komme ud over dette problem ved at vælge en databehandler, som garanterer at personoplysningerne alene lagres og behandles i EU/EØS (eller et tredjeland med en tilstrækkelighedsvurdering).

Spørgsmålet om den ekstraterritoriale anvendelse af FISA 702 på amerikanske virksomheders datterselskaber i EU falder nok (trods alt) uden for Schrems II-dommen, fordi der ikke er tale om at personoplysninger overføres til en virksomhed i USA for derefter at blive tilgået af amerikanske myndigheder, men om en overførsel fra en europæisk juridisk enhed til myndigheder i USA. Det vil, ligesom Cloud Act, falde ind under GDPR artikel 48. Ikke problemfrit, absolut ikke, heller ikke for den europæiske dataansvarlige der fx bruger Microsoft cloud i Europa (som ikke i sig selv udgør en tredjelandsoverførsel). Men problemerne er ikke akutte på samme måde som ved overførsel til en virksomhed i USA, hvor Schrems II dommen sætter ganske betydelige begrænsninger her og nu.

Hvor det hele ender må tiden vise. Måske ændres brugen af SCC fra "sign and forget" til "sign, get an opinion and forget" (se dette tweet). Det kunne muligvis godt blive den pragmatiske løsning for visse dataansvarlige, men det er ikke uden risiko (GDPR bøder på op til 20 mill. EUR eller 4% af den globale omsætning).

Jesper Lund

IT-Politisk Forening

  • 2
  • 0
#23 Peter Valdemar Mørch

@Jesper Lund:

Hvis vi taler om "cloud industri" databehandlere, kan den dataansvarlige relativt smertefrit komme ud over dette problem ved at vælge en databehandler, som garanterer at personoplysningerne alene lagres og behandles i EU/EØS (eller et tredjeland med en tilstrækkelighedsvurdering).

Igen dette med hvor serverne står henne. Er Cloud Acts formål ikke netop at gøre det klart at det er komplet ligegyldigt hvor serverne står?

Spørgsmålet om den ekstraterritoriale anvendelse af FISA 702 på amerikanske virksomheders datterselskaber i EU falder nok (trods alt) uden for Schrems II-dommen, fordi der ikke er tale om at personoplysninger overføres til en virksomhed i USA for derefter at blive tilgået af amerikanske myndigheder, men om en overførsel fra en europæisk juridisk enhed til myndigheder i USA. Det vil, ligesom Cloud Act, falde ind under GDPR artikel 48.

Øh...

Disse USA ejede selskaber (MS, Google, Amazon mv.) har jo alle "follow the sun" DevOps hold, så DevOps holdet i USA har 100% adgang til alle servere i EU med alle deres data.

Så når NSA kommer på besøg til DevOps holdet i USA og vil have indholdet f.eks. af min europæiske Office 365 mail udleveret under en FISA ordre backet af Cloud Act, hvem er det så vi forventer der skal sige nej til NSA og forhindre det?

Et er praktisk virkelighed, et andet jura.

Er juraen virkelig så fjern fra virkeligheden at man siger at fordi Microsoft EU er en seperat juridisk enhed fra Microsoft Seattle, så er data gemt i Office 365 af EU kunder sikre ?

Eller vil man med GDPR i hånden kunne give Microsoft EU en monsterbøde alene fordi de har givet DevOps holdet i Seattle adgang til data gemt på server på servere i EU?

Peter Uforstående...

  • 9
  • 0
#24 Jesper Løffler Nielsen Blogger

Dejligt med så mange holdninger og input. Jeg tillader mig lige at vende tilbage til spørgsmålet om kryptering, og har bl.a. noteret mig:

Troels Just: "Med andre ord vil man kunne bruge f.eks. amerikanske lagrings-tjenester, men ikke amerikanske "computation"-tjenester. Man vil derfor skulle anlægge en del af sin applikations infrastruktur her i EU... Med "Computation" mener jeg både IaaS som Azure og AWS, men også SaaS som de tjenester du nævner, fordi samme udfordting er gældende med begge kategorier. Hvis man kunne bruge Microsofts online Word til at kryptere et dokument er det Microsofts servere der krypterer dokumentet, og dermed har Microsofts servere nødvendigivs krypteringsnøglen med mindre at det foregik i browseren, hvilket man ikke rigtigt kan dokumentere da programmet jo ikke er open source. Ligeledes med AWS, hvis man kører sin applikation på Amazons servere, og foretager krypteringen via dem, så er krypteringsnøglen allerede hos Amazon."

Peter Valdemar Mørch : "...Og det vil så kun være lagring der kan benyttes, så længe data krypteres ved den europæiske kilde. Hvis der benyttes computation vil data være tilgængelig for NSA i dekrypteret form hviklet er uacceptabelt."

Bjarne Nielsen: "...Medmindre at man krypterer alt inden det forlader området (og så er det godt nok ikke meget ved "skyen"), så kan jeg umiddelbart kun komme i tanke om flg. muligheder: AMDs Secure Encrypted Virtualization IBMs arbejde med Fully Homomorphic Encryption"

Nicolaj Rossing: "...Men som Kuan (GDPR specialisten) rigtigt anfører så fører de tekniske løsninger ofte til en række nye problemer vi skal tage stilling til. Hvem har og skal have adgang til nøglen? Er nøglen lang nok? Hvad hvis vi har brug for at gemme data i lang tid, kan man så regne med at selve krypteringsalgoritmen er god nok? DES blev brugt indtil AES var frigivet (med Tripple DES som mellemløsning). Data krypteret med DES anses idag ikke for tilstrækkeligt sikre. Tilsvarende er udviklingen af kvantecomputere i fuld gang og snart vil de krypteringsalgoritmer der typisk anvendes til nøgleudveksling måske kunne brydes på et splitsekund...."

Og så har jeg fået en mail fra Jonas Ritz, der gjorde mig opmærsom på, at Google få dage før Schrems II-afgørelsen satte Google Cloud Confidential Computing i Beta:

https://cloud.google.com/blog/products/identity-security/introducing-goo...

Det skal siges, at Jonas også fremhæver de begrænsninger, der er forbundet med brug af kryptering, herunder udbyderens adgang til data, selv på en krypteret VM.

Så, hvad der dommen, er kryptering helt umuligt, eller vil der ikke være situationer, hvor det kunne være løsningen?

  • 1
  • 0
#25 Gert Madsen

Er alt dette ikke baseret på ønskedrømme ?

Man vil spare nogle penge på sin IT, så derfor søger man mod diverse løndumpningslande (med andre menneskers data, forstås).

Lovgivning er jo netop baseret geografisk. Al den snak om krav, regler og aftaler, for at omgå den kendsgerning, at en lovgivning kun har reel betydning, hvor den faktisk kan håndhæves (og bliver det).

Var det ikke bedre at man en gang for alle erkendte det, og så kom videre, istedet for ekselering i disse dokumenter, som alligevel ikke kan have afgørende betydning?

  • 1
  • 0
#26 Jesper Frimann

Så, hvad der dommen, er kryptering helt umuligt, eller vil der ikke være situationer, hvor det kunne være løsningen?

Jo, der er nogle, omend begrændsede, muligheder. F.eks. Homomorphic encryption.

https://en.wikipedia.org/wiki/Homomorphic_encryption

Og der er produkter og cloud services, der understøtter til dels at arbejde på krypterede data.

Et godt eksempel, som ligger lidt op af den sag du referede til i din artikel vdr. EG (ServiceNow). Er 'Edge kryptering' i ServiceNow's Cloud offerings.

https://blogs.servicenow.com/content/dam/servicenow-assets/public/en-us/...

Igen så kan man diskutere om det er 'godt nok' når vi snakker datasikkerhed.

Men en ting man skal huske på i alt det her, er at 'Confidentiality' kun er et bokstav i CIA (Confidentiality, Integrity and Availability). Så selv om du måske kan sikre Confidentiality i et tredjepart land ved kryptering, hvordan sikrer du dig så Availability og Integrity ?

I og A i CIA kan være lige så vigtige som C'et.

Hvis jeg f.eks. destruerer eller kan kompromitere integriteten i din sygejounal, så kan det måske endda endnu i visse situationer, være 'farligere' for dig end at den bliver solgt til dit forsikringselskab.

Hvis jeg f.eks. kan ændre/slette/... feltet med allergier i din sygejournal, kan du jo risikere, at komme rigtig rigtig galt afsted.

Det er derfor, at noget så trivielt som sundhedsdata mv. skal beskyttes ordenligt. For selv om det måske i dag kun er forsikringselskaberne, der er ude efter almindelige borgers data, så har folk med 'samfundskritiske' funktioner (og fremtidens folk med ditto) også data liggende i disse 'almindelig' offentlige og private systemer.

// Jesper

  • 4
  • 0
#27 Nicolaj Rosing

Så, hvad der dommen, er kryptering helt umuligt, eller vil der ikke være situationer, hvor det kunne være løsningen?

Overhovedet ikke. Kryptering er tværtimod nok en af de stærkeste sikkerhedskontroller vi har til rådighed. Når man taler om defense in depth (layered security) er kryptering af data i reglen den sidste (inderste) forsvar (safeguard) hvis alt andet svigter herunder fysisk og administrativ sikkerhed. Problemet er at kryptering kun er et værktøj og sikkerheden er baseret på en algoritme som ikke altid er teknologi-uafhængig i forhold til 'ubrydelighed'. Det der anses for sikkert idag er ikke nødvendigvis sikkert om 5 år. Derfor afhænger brugen af værktøjet af omstændighederne. Et andet problem ved kryptering er at ved en transformation af data (en beregning) kan disse af gode grunde ikke være krypteret, som Peter Valdemar Mørch er inde på. Der skal derfor forinden tages stilling til nøglehåndtering hvilket som tidligere beskrevet fører til en række yderligere problemer, især da helt lavpraktiske daglidags hændelser som konflikter, opsigelser, social engineering, forglemmelser, ubetænksomhed osv i omgang med nøglen kan sætte al sikkerheden over styr. Her hjælper matematikken selvfølgelig ikke - disciplin og jura er måske i højere grad af betydning her. Så set fra min stol er svaret på spørgsmålet at kryptering så godt som altid er en del af løsningen, men at der følger andre problemstilllinger med som så skal tages hånd om. Sidstnævnte er der en uheldig tendens til at glemme

  • 3
  • 0
#28 Jesper Lund

Igen dette med hvor serverne står henne. Er Cloud Acts formål ikke netop at gøre det klart at det er komplet ligegyldigt hvor serverne står?

Dataoverførsler over landegrænser og forskellige myndigheders adgang til data på tværs af landegrænser er et meget kompliceret emne. Juridisk, politisk og praktisk (herunder politiets vanskeligheder ved efterforskning i cyberspace).

Men det er nødvendigt med flere nuancer end at "USA myndigheder får adgang", fordi det blander vidt forskellige myndigheder og formål sammen. USA er hverken Nordkorea eller Kina.

Problemet med FISA 702, og grunden til at EU-Domstolen har underkendt Safe Harbor og Privacy Shield, er at denne lovgivning er for vidtgående ("overskrider grænsen for det strengt nødvendige").

Kriterierne for at få adgang til privat kommunikation til efterretningsmæssige formål er for upræcise (der er fx hjemmel til at overvåge udenlandske miljø-NGO'er, hvis olieindustrien falder ind under USA's udenrigspolitiske interesser). NSA kan endvidere frit tilføje "selektorer" (personer der skal overvåges) uden en individual mistanke, sålænge der er tale om personer uden for USA. Der er ganske vist en domstol involveret i FISA 702, men FISC foretager kun en overordnet godkendelse af rammerne for FISA 702 indhentningen. På grundlag af én kendelse foretager NSA indhentning mod 200.000 personer om året.

CLOUD Act er en hel anden type lovgivning. Den gælder for politiets efterforskning af kriminalitet (ikke efterretningsvirksomhed), og adgang til data kræver en individual mistanke på "probable cause" niveau samt en dommerkendelse.

Det problematisk ved CLOUD Act er at en amerikansk dommerkendelse kræves håndhævet på en anden stats territorium, fx hos Microsofts datterselskab i Irland. I forhold til GDPR vil det give problemer med artikel 48, som forudsætter at dataoverførsler fra en dataansvarlig eller databehandler i EU til en efterforskningsmyndighed uden for EU sker i henhold til en international aftale, fx de såkaldte MLATs (Mutual Legal Assistance Treaty). CLOUD Act er ikke en sådan gensidig aftale mellem EU og USA.

I parantes bemærket er der et EU-forordningsforslag under behandling (den europæiske editionskendelse), som også kan siges at have ekstraterritorial effekt (EU efterforskningsmyndigheder kan kræve data udleveret fra tjenesteudbydere i USA) på en måde som måske minder om CLOUD Act; der er igangværende forhandlinger om en tillægsprotokol til Cybercrimekonventionen under Europarådet som skal gøre det lettere at få data udleveret fra onlinetjenester på tværs af landegrænser uden om MLAT-processen (der anses for at være for besværlig); og der er (som den tredje bold i luften) forhandlinger mellem EU og USA om en lignende bilateral aftale (hvor EU vil tage udgangspunkt i forordningen om den europæiske editionskendelse i stedet for CLOUD Act).

Det er meget kompliceret (for at sige det mildt), og hvis vi skal tale om Danmark bliver det endnu mere kompliceret på grund af retsforbeholdet.

Et er praktisk virkelighed, et andet jura.

Er juraen virkelig så fjern fra virkeligheden at man siger at fordi Microsoft EU er en seperat juridisk enhed fra Microsoft Seattle, så er data gemt i Office 365 af EU kunder sikre ?

Microsofts afdeling i Irland er europæisk virksomhed, som er underlagt GDPR (samt øvrig EU-lovgivning og lovgivning i Irland).

GDPR artikel 48 siger at Microsoft Irland ikke kan overføre personoplysninger til efterforskningsmyndigheder i USA alene på grundlag af en amerikansk dommerkendelse, uden om MLAT processen eller anden international US/EU aftale.

CLOUD Act siger at Microsoft Irland, som datterselskab af Microsoft, er forpligtet til at udlevere data på en amerikansk kendelse.

Microsoft kan ikke overholde begge love (EU og USA).

Det er en klassisk lovkonflikt mellem to staters lovgivning, som reelt kun kan løses ved internationale traktater mellem EU og USA (den klassiske løsning er MLAT, som involverer myndigheder og domstole i begge lande; men det går "for langsomt" synes visse regeringer, eller rettere: temmelig mange regeringer).

Eller vil man med GDPR i hånden kunne give Microsoft EU en monsterbøde alene fordi de har givet DevOps holdet i Seattle adgang til data gemt på server på servere i EU?

Hvis en Microsoft teknikker i Seatle har adgang til personoplysninger lagret hos Microsoft Irland er der tale om en tredjelandsoverførsel af den type som Schrems-dommene behandler. Hvis Microsoft eksempelvis er databehandler, og har garanteret den dataansvarlige at personoplysningerne ikke forlader EU (for at undgå de vanskelige overvejelser om SCCs), vil denne teknikkeradgang udgøre en overtrædelse af GDPR (den dataansvarliges forpligtelser efter artikel 28) fordi der sker en overførsel til en underbehandler i et usikkert tredjeland uden en aftale med den dataansvarlige og uden et gyldigt overførselsgrundlag i GDPR kapitel V. Det vil kunne sanktioneres med bøder efter GDPR.

  • 5
  • 0
#32 Dave Pencroof

Penge er gud, og tid er penge !!!! Vi skal også lige huske at rigtigt mange ikke aner en fis om alt dette, det skal bare virke OG VÆRE LIGETIL (læs LET) ! Hvordan vil man lige omgå det allesteds værende sløs med sikkerhed som mennesket (over hegnet hvor gærdet er lavest) i sin eklatante dovenskab, lige lægger krypteringsnøglen op på en sky og deler med div uden at vide det mindste om at 90 % af dem der deles med har mail adr løsninger med amerikanske aner, eller for den sags skyld at den sky nøglen er lagt op på i virkeligheden også er af amerikansk oprindelse. De fleste aner INTET om alle disse ting, fatter endnu mindre og lytter alligevel ikke ret godt når det skal gå stærkt (det siger cheferne at det skal, DET SKAL VÆRE KLARET FOR EN TIME SIDEN), der sidder nogen der koster tusindvis af $ i timen ! Med et usa der vil være et verdens herredømme, og oftest agere sådan, samt at usa er dem der har kastet, ufattelige $ udi teknologi, og stadig gør det, så har de grunde til at tænke sådan, men idag er usa ikke dem med de dårligste lønninger/forhold, noget vi "prisbevidste blegansigter" virkelig intenst fokusere på, så om ikke så længe kommer vi endnu mere i lommen på kina, og det er squ ikke bedre, kun anderledes ! Grådighed og dovenskab (plus den velbegrundede uvidenhed) gør alt det denne artikel, og kommentarerne, handler om til en øvelse i ligegyldigheder, for da flertallet ikke har skyggen af chance for at gennemskue div. it relaterede tilhørsforhold, og når alt arbejde skal vær klart i forgårs, så vil de letteste løsninger stå på første række ! Jeg har forsøgt at være sammenhængende ! I må have det så pragtfuldt som muligt !

  • 0
  • 0
#34 Michael Cederberg

GDPR artikel 48 siger at Microsoft Irland ikke kan overføre personoplysninger til efterforskningsmyndigheder i USA alene på grundlag af en amerikansk dommerkendelse, uden om MLAT processen eller anden international US/EU aftale.

CLOUD Act siger at Microsoft Irland, som datterselskab af Microsoft, er forpligtet til at udlevere data på en amerikansk kendelse.

Microsoft kan ikke overholde begge love (EU og USA).

Det er ganske rigtigt. Men borgere i EU skal overholde EU lovgivning. Det kan godt være at Microsoft ejer en server der står i et EU datacenter, men hvis der ikke er nogen der vil pille data ud af serveren og sende samme til USA så er Microsoft i den situation at de gerne vil udlevere data men ikke er i stand til dette. Dette må være en ønskværdig situation for alle andre end NSA.

Hvis en Microsoft teknikker i Seatle har adgang til personoplysninger lagret hos Microsoft Irland er der tale om en tredjelandsoverførsel af den type som Schrems-dommene behandler.

Det er netop pointen. Der er ikke noget problem med at Microsoft ejer servere i Irland. Problemet opstår når personer udenfor EU får lov til at tilgå/administrere disse servere. Problemet er "follow the sun" princippet for management og support. Det er det vi skal af med og det er helt klart muligt. Det vil gøre datacentre i EU dyrere, men det lever vi nok med.

Loven bør gøre det individuelt strafbart for personer at exportere følsom information til servere der ikke opfylder EU krav. Et af kravene bør være at kun EU personel har fysisk og elektronisk adgang til servere. Og at det er ulovlig og personligt strafbart for EU personer at give adgang til disse servere til ikke-EU personer.

Når det skal være individuelt strafbart, så er det fordi en EU-manager hos en US cloud-provider der modtager en ordre om at udlevere data fra en US-manager så blot kan sige at det må han ikke i henhold til loven. Case closed.

  • 2
  • 1
Log ind eller Opret konto for at kommentere