Schrems II i et IT-retligt perspektiv: Når jurister forsøger at sætte landegrænser på internettet

Igen læser jeg om disse SCCer...

Er der nogen der kan forklare mig hvordan SCCer kan have nogen relevans, når nu NSA med Cloud Act beføjelser kan se alle data på alle servere ejet af amerikanske virksomheder i hemmelighed uanset om serverne måtte stå i EU? Er det nogen der givet historien tvivler på at dette rent faktisk foregår i massiv skala?

Som jeg naivt forstår det, kan man pga. cloud act ikke overholde GDPR og benytte tjenester udbudt af amerikanske virksomheder samtidig. Hvor er hullet i min forståelse? Hvordan kan disse SCCer ændre på at NSA kunne være totalt ligeglad med dem uden at vi kan opdage det?

https://en.m.wikipedia.org/wiki/CLOUD_Act

Én ting vi, i hvert fald, med sikkerhed kan sige om kryptering er, at den i givet fald vil skulle foretages her i EU inden at overførslen finder sted fordi, hvis selve krypteringen foretages på en amerikansk cloud-server er både data og krypteringsnøglen sendt til USA og så er det game over fra starten.

Med andre ord vil man kunne bruge f.eks. amerikanske lagrings-tjenester, men ikke amerikanske "computation"-tjenester. Man vil derfor skulle anlægge en del af sin applikations infrastruktur her i EU.

Hvis jeg husker ret har Frankrig talt om, at EU bør støtte opbygningen af europæiske alternativer til de store amerikanske giganter. Når vi taler om politisk handling er dette måske et meget godt tidspunkt til, at overveje statslig støtte og investeringer, f.eks. via den Europæiske Investeringsbank, i netop sådanne intiativer og samtidig opsætte værn imod senere opkøb af disse fra enten amerikansk eller, måske endnu vigtigere, kinesisk side.

@troels skrev:

Hvis jeg husker ret har Frankrig talt om, at EU bør støtte opbygningen af europæiske alternativer til de store amerikanske giganter. Når vi taler om politisk handling er dette måske et meget godt tidspunkt til, at overveje statslig støtte og investeringer, f.eks. via den Europæiske Investeringsbank, i netop sådanne intiativer og samtidig opsætte værn imod senere opkøb af disse fra enten amerikansk eller, måske endnu vigtigere, kinesisk side.

I stedet for at støtte udviklingen af dem kunne man måske hellere sige:

Fra 2023 må ingen statslige eller kommunale myndigheder eller firmaer der har kontrakter med statslige eller kommunale myndigheder benytte closed-source "computation"-tjenester udbudt af firmaer uden for EU. Dvs:

• Office 365
• Android / IOS
• Windows
• Zoom / Slack etc.
• AWS / Azure / GCP ud over storage som S3 buckets, OneDrive så længe data krypteres ved kilden

Så skal der nok komme open-source eller europæiske alternativer. Det er jo det Kina har gjort, og diverse EU politikere er jo i andre sammenhænge glade for at kopiere kinesiske fremgangsmåder :-)

En af løsningerne kunne tilsynelande være en mere udbredt brug af Binding Corporate Rules (BCR) selvom det er en tung opgave at løfte for mindre virksomheder og kun 'løser' en delmængde af problemerne. Ofte går samarbejde på tværs af ikke bare statsgrænser men også andre virksomheder hvor BCR så ikke hjælper meget.

Helt grundlæggende synes problemet at være, nøjagtig som forfatteren beskriver det, at den informationsteknologiske udvikling i virkeligheden er i eksplosiv vækst sammenlignet med de øvrige mekanismer der skal beskytte borgerne i samfundet imod kaos. Jeg beskæftiger mig med IT sikkerhed, hvor 'simplicity' og 'transparancy' er vigtige elementer i at sikre IT systemer. Problemet med privacy (lovgivningen forstås) er, at området er karakteriseret ved at være uhyre kompliceret. Samtidig er branchen belastet af lykkeridere, som for virksomhederne kan være svære at gennemskue, men som blot gerne vil pryde sig med titler (og lønninger) som DPO og CPO; for slet ikke at tale om de mange jurister der gennem årene har spundet guld på GDPR rådgivning.

Jamen når nu juraen er blevet for indviklet til at nogen kan forstå nogetsomhelst så lad os kaste os over de tekniske løsninger.... kryptering! Privacy by default! - GDPR art 25. Det virker altid. Men som Kuan (GDPR specialisten) rigtigt anfører så fører de tekniske løsninger ofte til en række nye problemer vi skal tage stilling til. Hvem har og skal have adgang til nøglen? Er nøglen lang nok? Hvad hvis vi har brug for at gemme data i lang tid, kan man så regne med at selve krypteringsalgoritmen er god nok? DES blev brugt indtil AES var frigivet (med Tripple DES som mellemløsning). Data krypteret med DES anses idag ikke for tilstrækkeligt sikre. Tilsvarende er udviklingen af kvantecomputere i fuld gang og snart vil de krypteringsalgoritmer der typisk anvendes til nøgleudveksling måske kunne brydes på et splitsekund. Tekniske løsninger gør det således sjældent alene hvilket indenfor IT sikkerhed er en kendt sag. Der er brug for mere klarhed i lovgivningen. Jurister må forstå at tekniske løsninger ikke altid er deres redning når juraen bliver for kompliceret.

Emnet er tungt men jeg glæder mig til at læse fortsættelsen...

@jesper:

Bare lige så jeg er med: Er “lagrings-tjenester” det jeg vil kalde en IaaS-løsning, såsom Azure og AWS, og "computation"-tjenester” det jeg vil kalde SaaS, såsom O365, Mailchimp, Trello mv?

AWS / Azure / GCP er jo både rå lagring ( i form af S3 buckets, OneDrive mm) og computation (i form af virtuelle maskiner, kubernetes clusters mm). Og det vil så kun være lagring der kan benyttes, så længe data krypteres ved den europæiske kilde. Hvis der benyttes computation vil data være tilgængelig for NSA i dekrypteret form hviklet er uacceptabelt.

Et konkret eksempel fra folkeskolen kunne være SkoleTube, hvor elever og læreres brugerdata gemmes på servere i Danmark, men produktionsværktøjerne til videoredigering mv. ligger i USA.

SkoleTube har sikret sig, at brugerdata (navn, login etc.) ikke sendes til USA og gjort det klart, at persondata ikke bør lægges i SkoleTube, men eleverne stilles opgaver, hvor de skal inkludere persondata, som via værktøjerne sendes til USA og bla. gemmes i AWS.

Her har SkoleTube lavet en løsning der kan fungere, men når lærerne fra 3. klasse stiller opgaver om at filme sig selv og fortælle om familie og mere følsomme ting i stedet for at opgaver om naturen etc. så er det ikke den tekniske løsning den er gal med. De aftaler der er indgået mellem kommune og SkoleTube er ikke tilgængelige og heller ikke kommunikeret videre til skolerne.

Det er svært at spå om fremtiden, men jeg tror at EU “rykker sammen og fremad”.

EU har i perioder ikke fungeret særligt godt, men det eksterne pres fra især USA men også fra Kina og Asien gør at EU’s medlemslande bedre kan se fidusen i europæisk samarbejde. Jeg tror at EU vil rykke på en række områder.

Sikkerhed og forsvar vil være et område og især fordi Trump “smækker med døren” ikke kun over for Tyskland, men overfor stort set alle de gamle nato-lande.

Jeg er ret sikker på at EU allerede nu har nedsat en arbejdsgruppe som arbejder med styrkelse af IT-sikkerhed og efter at storbritannien har forladt EU, er der ikke nogen større EU lande som i samme grad som storbritannien aflytter.

Stille og roligt vil der komme krav fra EU som besværliggør eller ligefrem umuliggør overvågning fra f.eks. NSA og Kina.

Det er f.eks. krav om at data skal opbevares i EU, at stærk kryptering skal anvendes ved visse former for data, at der skal anvendes open source, at systemdesign for sociale medier skal fremlægges til revision imod overvågning, enorme bøder ved afvigelser, omvendt bevisbyrde når EU’s anbefalinger brydes af internationale virksomheder. Osv. osv.

EU vil ikke være bombastisk som verdens største geni, men stille og roligt vil man tvinge virksomheder til at lukke ned for overvågning (ikke kun amerikansk overvågning, men al overvågning udenfor EU).

Det vil ikke lykkes da det jo er essensen af spionage, men tiden med NSA blot specificer et interface som alle amerikanske virksomheder skal afleverer data i henhold til .... er forbi!

Nu er det vigtigt at huske på at lovgivning ofte er baseret på nationale økonomiske overvejelser. Se på grøn omstilling i DK. Støtten til solceller er næsten forsvundet da der ikke er mange danske solcellejob. Til gegæld har vi en stor vindmølleindustri, så nu får man de største støttekroner her, da man derved kan give statstilskud camoufleret som noget mere neutralt.

GDPR og de tidligere aftaler er lavet for at styrke EU virksomhederne på IT området. De er lavet for at hjælpe/give muligheder for europæiske virksomheder. Og for at sikre at amerikanske firmaer ikke kommer for langt foran i deres profilering.

Du skal ikke se GDPR som noget der alene skal beskytte individet, nej den højere mening er at hjælpe europæiske databehandlingsvirksomheder.

Og man må snart acceptere at ingen amerikanske virksomheder kan drive forretning i EU, da amerikansk lovgivning tilsidesætter al europæisk lovgivning. Og dette er fra lang tid før den gale præsident kom til.

Hej Jesper.

Lagrings-tjenester kunne være f.eks. Amazons S3, men det kunne også være Dropbox eller OneDrive. Formålet med dem er at lagre data, og dit ræsonnement med kryptering giver god mening, hvis man krypterer dataene før de opbevares via disse tjeneste, fordi så har ingen af dem krypteringsnøglen, og selv hvis Dropbox gav dataene til NSA kan de ikke tilgås, hvis krypteringen er foretaget korrekt og forsvarligt.

Med "Computation" mener jeg både IaaS som Azure og AWS, men også SaaS som de tjenester du nævner, fordi samme udfordting er gældende med begge kategorier. Hvis man kunne bruge Microsofts online Word til at kryptere et dokument er det Microsofts servere der krypterer dokumentet, og dermed har Microsofts servere nødvendigivs krypteringsnøglen med mindre at det foregik i browseren, hvilket man ikke rigtigt kan dokumentere da programmet jo ikke er open source. Ligeledes med AWS, hvis man kører sin applikation på Amazons servere, og foretager krypteringen via dem, så er krypteringsnøglen allerede hos Amazon.

@ Peter Valdemar Mørch

Som open source-fortaler igennem 16 år er jeg bestemt ikke uenig i dit forslag, og ifht. mange af de mest kendte SaaS-tjenester, som Dropbox, Zoom, Office 365 osv. har vi allerede et glimrende alternativ i Nextcloud og Collabora. :-)

Hvis de europæiske regler om databeskyttelse er uforenelig med amerikansk lovning (inkl. den mangeårige praksis med hemmelig lovning), så er det ikke noget, som to parter kan aftale sig ud af. To parter kan heller ikke aftale sig til at ignorere færdselsloven.

At amerikansk lovning og praksis var yderst problematisk blev allerede påpeget af flere parter før "Safe Harbour" blev skudt i sænk. Nu skulle man så tro, at det at "Safe Harbour" blev skudt i sænk, gjorde at man fik hovedet ud af buksen, men man rettede et par kommaer og kaldte det for "Privacy Shield" og fortsatte som hidtil.

Nu er "Privacy Shield" også skudt i sænk, og det er SCC i høj grad også, netop fordi at der er en grundlæggende inkompatibilitet imellem europæiske og amerikanske regler.

Hvis man handler i modstrid med gældende regler, og nu to gange har fået det skåret ud pap af den højeste domstol, så er det svært at se, hvordan man med rimelighed "... kan tage det roligt, og satse på at fornuften sejrer." Sådan set mener jeg nok, at dommen netop er udtryk for at fornuften har sejret, og det burde altså efter så mange år, ikke komme som en overraskelse. Det har ikke skortet på advarsler, så stop klynk over, at det skaber en umulig situation, og der er brug for overgangsordninger og tålmodighed.

Der er kun to veje, hvorved denne modstrid ville kunne løses: enten opgiver Amerika sine overvågningslov (inkl. de hemmelige), eller også opgiver Europa sine regler om databeskyttelse. Jeg kan ikke lige se det første ske; der er ingen troværdighed tilbage her. Jeg har også svært ved at se, hvordan Europa på deres side kan bøje sine regler tilstrækkeligt uden at komme alvorligt i modstrid med grundlæggende principper og konventioner.

Det er sådan at det er; accepter det dog, istedet for at blive ved med at tale udenom.

Med det sagt, så er jeg ikke et øjeblik i tvivl om, at mange bare vil vifte voldsomt med begge arme, henvise til komplicerede regler, som kræver fælles indsats, rette nogle kommaer, og så stikke hovedet ind langt i busken igen. Bl.a. set i lyset af, at en række at dette lands justitsministre (en længere og ubrudt række) ikke synes at det er nødvendigt at overholde love, som ikke bekommer dem vel, men vil gøre alt for at trække sager og klager i langdrag, mens man bare fortsætter med at gøre som det passer en (og her tænker jeg i særdeleshed på sagen om telelogninger).

Som Dansk Erhverv udlagde sagen, så ser de ikke nogen måde, hvorpå EU-virksomheder overhovedet kan fortsætte samarbejdet, selv med SCCer og "supplementary measurements" og vurderinger af retsvæsenet und so weiter.

Hvis Privacy Shield er nede, betyder det, at USA dermed er et usikkert tredjeland, men også, at der selv med SCCer ikke kan opnås samme niveau som derhjemme, i og med at der må være en grund til at Privacy Shield er blevet ugyldiggjort.

Citat fra Dansk Erhverv:

Om overførsel af persondata til USA overhovedet kan ske på baggrund af SCC må lige nu anses for at være højst tvivlsomt, idet EU domstolen ved at tilsidesætte Privacy Shield jo netop har slået fast, at beskyttelsesniveauet i USA er utilstrækkeligt.

Så gerne jeg end vil gøre noget for at imødekomme de nye krav, så må jeg nok indse, at jeg bør vente til USA og EU har lavet en aftale eller i det mindste indtil Datatilsynet/EDPS/EDPS/andre kom med gode vejledninger. Ellers fortaber man sig i fortolkninger af dommen, og stridigheder med leverandørerne. (Jeg kan fortælle at Google er blevet ret nervøse i deres svar overfor mig, siden jeg i mandags begyndte min undersøgelse af Google).

Vigtig, vil jeg mene, er at få italesat hos leverandørerne de amerikanske lovgivninger, som gør det vanskeligt for EU-virksomheder at forblive kunder hos amerikanske leverandører. Det vil forhåbentlig gøre nok larm fra det amerikanske erhvervsliv til at regeringen starter med at finde en løsning. Og derudover at stå fastgroet bag GDPR. Vi må ikke rykke os en milimeter her, vi må insistere på vores lovgivning og ikke tillade, at USA dikterer EU-lov og EU-principper. Og det indebærer, at vi skal prøve at holde os til EU-loven, så vanskeligt den nu er... men vores eget erhvervsliv er jo ikke altid så interesseret i det, til at starte med, så måske vi skal sætte ind dér også..

Du skal ikke se GDPR som noget der alene skal beskytte individet, nej den højere mening er at hjælpe europæiske databehandlingsvirksomheder

Hvorfor det?

Hvis man læser lovtekstens art 1 står der udtrykkeligt at loven er til for at beskytte individet: "This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data"

Der efterspørges tekniske løsninger til at få skyen til at fungere. Medmindre at man krypterer alt inden det forlader området (og så er det godt nok ikke meget ved "skyen"), så kan jeg umiddelbart kun komme i tanke om flg. muligheder:

• AMDs Secure Encrypted Virtualization
• IBMs arbejde med Fully Homomorphic Encryption

Og hverken det ene eller det andet kan siges at være en snuptagsløsning på udfordringerne.

...når man sover i timen, så får man ofte en brat opvågnen.

Kunne f.ex. bruges.. Og man kan kun håbe på at der kommer mere vind i sejlene hos de europæiske cloud providere :)

står der udtrykkeligt at loven er til for at beskytte individet

Ligesom at Trumps udfald mod TikTok titulært udelukkende skyldes bekymring for, om firmaet ulovligt overvåger brugernes data. Men resultatet kan blive en statslig presset overdragelse af en udenlandsk virksomheds service til et amerikansk selskab. Helt tilfældigt...

så må jeg nok indse, at jeg bør vente til USA og EU har lavet en aftale eller i det mindste indtil Datatilsynet/EDPS/EDPS/andre kom med gode vejledninger

Hvorfor det? Det skal en amerikansk lovændring til, hvor cloud act tilbagekaldes.

Indtil da, kan NSA m.fl. bare udstede hemmelige FISA ordrer til amerikanske virksomheder, som derefter skal adlyde og holde kæft om det. Uanset "aftaler" og EU lov.

@Nicolaj Rosing: Jo i forordningen selv står der selvfølgelig mange pæne (og rigtige, synes jeg) ord om privacy. Men det er værd at bemærke, at kommissionen allerede i 2012 - ved første fremlæggelse af GDPR - argumenterede med, at forordningen ville være helt central for at kunne etablere et digitalt indre marked. Så GDPR handler i høj grad også om penge!

Glem ikke, at EU jo lige nu er i krig (handelskrig) med USA, som dermed (økonomisk set) de facto er EU’s fjende. Jeg tænker, at Schrems II meget vel også kan være EU’s måde til meget belejligt at åbne en ny og længe planlagt it-front i denne krig. Og når elefanterne tramper (og Trump’eterer), så er hensyn til lidt ekstra bøvl i mange. danske virksomheders it-afdelinger, som i al hast ok skal omlægge til nye EU-ejede cloud-leverandører, næppe noget, som man vil tage ret meget hensyn til. “For the greater European good” så at sige...

Men, efter min opfattelse giver det absolut ingen mening, at danske myndigheder, virksomheder og foreninger skal forholde sig til tilstrækkeligheden af lovgivningen i USA, eller i andre lande for den sags skyld. Jeg mener endda ikke engang, at det er noget, de enkelte nationale Datatilsyn bør bruge ressourcer på at vurdere individuelt, da det klart er en opgave, der hører hjemme i EU's centrale organer, fx EU-Kommissionen og Databeskyttelsesrådet.

Generelle vurderinger af om et tredjeland, eller visse sektorer/virksomheder inden for et tredjeland (som Safe Harbor og Privacy Shield), giver et tilstrækkeligt beskyttelsesniveau er tilstrækkelighedsvurderinger efter artikel 45. Det gøres af Kommissionen med mulighed for at EU-Domstolen senere kan annullere beslutningen.

En sådan tilstrækkelighedsvurdering har USA ikke længere. Det er muligt at der kommer en ny tilstrækkelighedsvurdering fra Kommissionen (Trump Shield, eller whatever), men det bliver svært. Privacy Shield bliver underkendt med præcist de samme argumenter som Safe Harbor (en efterretningslovgivning, specielt FISA 702, som ikke er tilstrækkelig afgrænset og målrettet samt manglen på adgang til effektive retsmidler for ikke-amerikanske personer), så Kommissionen har virkelig ikke gjort sit arbejde ordentligt med Privacy Shield i 2016.

Hvis overførselsgrundlaget er standardkontraktbestemmelser (SCC), kan jeg ikke se hvordan du vil komme uden om, at den enkelte dataansvarlige skal tage stilling til om overførslen er omfattet af fornødne garantier? Selvfølgelig kan EDPB og de europæiske datatilsyn lave vejledninger, og det vil de givetvis gøre, men i den situation hvor der ikke er en tilstrækkelighedsvurdering for modtagerlandet (artikel 45) vil det uundgåeligt være en case-by-case vurdering, der som minimum omfatter

1. Lovgivningen i modtagerlandet som er gældende for den specifikke dataimportør (specielt den meget konkrete obligatoriske vurdering i præmis 141: en lovgivning som går videre end hvad der er strengt nødvendigt efter europæiske standarder skal anses for en tilsidesættelse af standardkontraktbestemmelser)
2. Andre midler eller yderligere garantier til at beskytte overførslen (fx kryptering)
3. Karakteren af de personoplysninger som overføres (der er nok en bundgrænse et godt stykke under Facebook-niveau for hvornår punkt 1 bliver et problem)

Der er så mange muligheder her, at det vil være umuligt for EDPB eller andre at lave en vejledning som dækker samtlige case-by-case tilfælde.

Det er bestemt ikke en simpel opgave, som den dataansvarlige er blevet pålagt (i samarbejde med dataimportøren i tredjelandet). For USA står det klart, at FISA 702 og EO 12.333 er lovgivning som går videre end hvad der er strengt nødvendigt, og den registrerede (borgeren i EU) har ikke adgang til at håndhæve sine rettigheder i USA (adgang til effektive retsmidler). Men ikke alle virksomheder er omfattet af FISA 702 ("kun" electronic communication service providers), så allerede her har vi et element i case-by-case vurderingen.

Det har krævet betydelige ressourcer at lave disse juridiske vurderinger, ingen tvivl om det. Der er mange siders tekst i grundlaget for Privacy Shield (de mange bilag) og retssagerne i Irland mellem DPC og Schrems (især den irske retssag [2017] IEHC 545, der sendte spørgsmålene i Schrems II til EU-Domstolen), hvor omfanget og rækkevidden af USAs efterretningslovgivning er vurderet temmelig grundigt.

Kinas lovgivning er sikkert endnu sværere at vurdere, hvis nogen kunne få den idé at sende personoplysninger fra EU til Kina (måske TikTok, der nu er etableret i Irland, og bruger SCCs; det er dog uklart om tredjelandet er USA eller Kina).

Der er bare ikke nogen vej uden om, når EU-Domstolen har fastslået at den dataansvarlige har ansvaret for at sikre, at databeskyttelsen efter EU-niveau ikke undermineres når personoplysningerne overføres til et tredjeland. Når den dataansvarlige ikke kan forlade sig på en tilstrækkelighedsvurdering (artikel 45) fra Kommissionen, er det nødvendigt med en case-by-case vurdering af den konkrete overførsel, herunder de yderligere garantier (udover standardkontraktbestemmelserne) som er anvendt i den konkrete overførsel.

Hvis vi taler om "cloud industri" databehandlere, kan den dataansvarlige relativt smertefrit komme ud over dette problem ved at vælge en databehandler, som garanterer at personoplysningerne alene lagres og behandles i EU/EØS (eller et tredjeland med en tilstrækkelighedsvurdering).

Spørgsmålet om den ekstraterritoriale anvendelse af FISA 702 på amerikanske virksomheders datterselskaber i EU falder nok (trods alt) uden for Schrems II-dommen, fordi der ikke er tale om at personoplysninger overføres til en virksomhed i USA for derefter at blive tilgået af amerikanske myndigheder, men om en overførsel fra en europæisk juridisk enhed til myndigheder i USA. Det vil, ligesom Cloud Act, falde ind under GDPR artikel 48. Ikke problemfrit, absolut ikke, heller ikke for den europæiske dataansvarlige der fx bruger Microsoft cloud i Europa (som ikke i sig selv udgør en tredjelandsoverførsel). Men problemerne er ikke akutte på samme måde som ved overførsel til en virksomhed i USA, hvor Schrems II dommen sætter ganske betydelige begrænsninger her og nu.

Hvor det hele ender må tiden vise. Måske ændres brugen af SCC fra "sign and forget" til "sign, get an opinion and forget" (se dette tweet). Det kunne muligvis godt blive den pragmatiske løsning for visse dataansvarlige, men det er ikke uden risiko (GDPR bøder på op til 20 mill. EUR eller 4% af den globale omsætning).

Jesper Lund

IT-Politisk Forening

@Jesper Lund:

Hvis vi taler om "cloud industri" databehandlere, kan den dataansvarlige relativt smertefrit komme ud over dette problem ved at vælge en databehandler, som garanterer at personoplysningerne alene lagres og behandles i EU/EØS (eller et tredjeland med en tilstrækkelighedsvurdering).

Igen dette med hvor serverne står henne. Er Cloud Acts formål ikke netop at gøre det klart at det er komplet ligegyldigt hvor serverne står?

Spørgsmålet om den ekstraterritoriale anvendelse af FISA 702 på amerikanske virksomheders datterselskaber i EU falder nok (trods alt) uden for Schrems II-dommen, fordi der ikke er tale om at personoplysninger overføres til en virksomhed i USA for derefter at blive tilgået af amerikanske myndigheder, men om en overførsel fra en europæisk juridisk enhed til myndigheder i USA. Det vil, ligesom Cloud Act, falde ind under GDPR artikel 48.

Øh...

Disse USA ejede selskaber (MS, Google, Amazon mv.) har jo alle "follow the sun" DevOps hold, så DevOps holdet i USA har 100% adgang til alle servere i EU med alle deres data.

Så når NSA kommer på besøg til DevOps holdet i USA og vil have indholdet f.eks. af min europæiske Office 365 mail udleveret under en FISA ordre backet af Cloud Act, hvem er det så vi forventer der skal sige nej til NSA og forhindre det?

Et er praktisk virkelighed, et andet jura.

Er juraen virkelig så fjern fra virkeligheden at man siger at fordi Microsoft EU er en seperat juridisk enhed fra Microsoft Seattle, så er data gemt i Office 365 af EU kunder sikre ?

Eller vil man med GDPR i hånden kunne give Microsoft EU en monsterbøde alene fordi de har givet DevOps holdet i Seattle adgang til data gemt på server på servere i EU?

Peter Uforstående...

Er alt dette ikke baseret på ønskedrømme ?

Man vil spare nogle penge på sin IT, så derfor søger man mod diverse løndumpningslande (med andre menneskers data, forstås).

Lovgivning er jo netop baseret geografisk. Al den snak om krav, regler og aftaler, for at omgå den kendsgerning, at en lovgivning kun har reel betydning, hvor den faktisk kan håndhæves (og bliver det).

Var det ikke bedre at man en gang for alle erkendte det, og så kom videre, istedet for ekselering i disse dokumenter, som alligevel ikke kan have afgørende betydning?

Så, hvad der dommen, er kryptering helt umuligt, eller vil der ikke være situationer, hvor det kunne være løsningen?

Jo, der er nogle, omend begrændsede, muligheder. F.eks. Homomorphic encryption.

https://en.wikipedia.org/wiki/Homomorphic_encryption

Og der er produkter og cloud services, der understøtter til dels at arbejde på krypterede data.

Et godt eksempel, som ligger lidt op af den sag du referede til i din artikel vdr. EG (ServiceNow). Er 'Edge kryptering' i ServiceNow's Cloud offerings.

https://blogs.servicenow.com/content/dam/servicenow-assets/public/en-us/...

Igen så kan man diskutere om det er 'godt nok' når vi snakker datasikkerhed.

Men en ting man skal huske på i alt det her, er at 'Confidentiality' kun er et bokstav i CIA (Confidentiality, Integrity and Availability). Så selv om du måske kan sikre Confidentiality i et tredjepart land ved kryptering, hvordan sikrer du dig så Availability og Integrity ?

I og A i CIA kan være lige så vigtige som C'et.

Hvis jeg f.eks. destruerer eller kan kompromitere integriteten i din sygejounal, så kan det måske endda endnu i visse situationer, være 'farligere' for dig end at den bliver solgt til dit forsikringselskab.

Hvis jeg f.eks. kan ændre/slette/... feltet med allergier i din sygejournal, kan du jo risikere, at komme rigtig rigtig galt afsted.

Det er derfor, at noget så trivielt som sundhedsdata mv. skal beskyttes ordenligt. For selv om det måske i dag kun er forsikringselskaberne, der er ude efter almindelige borgers data, så har folk med 'samfundskritiske' funktioner (og fremtidens folk med ditto) også data liggende i disse 'almindelig' offentlige og private systemer.

// Jesper

Så, hvad der dommen, er kryptering helt umuligt, eller vil der ikke være situationer, hvor det kunne være løsningen?

Overhovedet ikke. Kryptering er tværtimod nok en af de stærkeste sikkerhedskontroller vi har til rådighed. Når man taler om defense in depth (layered security) er kryptering af data i reglen den sidste (inderste) forsvar (safeguard) hvis alt andet svigter herunder fysisk og administrativ sikkerhed. Problemet er at kryptering kun er et værktøj og sikkerheden er baseret på en algoritme som ikke altid er teknologi-uafhængig i forhold til 'ubrydelighed'. Det der anses for sikkert idag er ikke nødvendigvis sikkert om 5 år. Derfor afhænger brugen af værktøjet af omstændighederne. Et andet problem ved kryptering er at ved en transformation af data (en beregning) kan disse af gode grunde ikke være krypteret, som Peter Valdemar Mørch er inde på. Der skal derfor forinden tages stilling til nøglehåndtering hvilket som tidligere beskrevet fører til en række yderligere problemer, især da helt lavpraktiske daglidags hændelser som konflikter, opsigelser, social engineering, forglemmelser, ubetænksomhed osv i omgang med nøglen kan sætte al sikkerheden over styr. Her hjælper matematikken selvfølgelig ikke - disciplin og jura er måske i højere grad af betydning her. Så set fra min stol er svaret på spørgsmålet at kryptering så godt som altid er en del af løsningen, men at der følger andre problemstilllinger med som så skal tages hånd om. Sidstnævnte er der en uheldig tendens til at glemme

Igen dette med hvor serverne står henne. Er Cloud Acts formål ikke netop at gøre det klart at det er komplet ligegyldigt hvor serverne står?

Dataoverførsler over landegrænser og forskellige myndigheders adgang til data på tværs af landegrænser er et meget kompliceret emne. Juridisk, politisk og praktisk (herunder politiets vanskeligheder ved efterforskning i cyberspace).

Men det er nødvendigt med flere nuancer end at "USA myndigheder får adgang", fordi det blander vidt forskellige myndigheder og formål sammen. USA er hverken Nordkorea eller Kina.

Problemet med FISA 702, og grunden til at EU-Domstolen har underkendt Safe Harbor og Privacy Shield, er at denne lovgivning er for vidtgående ("overskrider grænsen for det strengt nødvendige").

Kriterierne for at få adgang til privat kommunikation til efterretningsmæssige formål er for upræcise (der er fx hjemmel til at overvåge udenlandske miljø-NGO'er, hvis olieindustrien falder ind under USA's udenrigspolitiske interesser). NSA kan endvidere frit tilføje "selektorer" (personer der skal overvåges) uden en individual mistanke, sålænge der er tale om personer uden for USA. Der er ganske vist en domstol involveret i FISA 702, men FISC foretager kun en overordnet godkendelse af rammerne for FISA 702 indhentningen. På grundlag af én kendelse foretager NSA indhentning mod 200.000 personer om året.

CLOUD Act er en hel anden type lovgivning. Den gælder for politiets efterforskning af kriminalitet (ikke efterretningsvirksomhed), og adgang til data kræver en individual mistanke på "probable cause" niveau samt en dommerkendelse.

Det problematisk ved CLOUD Act er at en amerikansk dommerkendelse kræves håndhævet på en anden stats territorium, fx hos Microsofts datterselskab i Irland. I forhold til GDPR vil det give problemer med artikel 48, som forudsætter at dataoverførsler fra en dataansvarlig eller databehandler i EU til en efterforskningsmyndighed uden for EU sker i henhold til en international aftale, fx de såkaldte MLATs (Mutual Legal Assistance Treaty). CLOUD Act er ikke en sådan gensidig aftale mellem EU og USA.

I parantes bemærket er der et EU-forordningsforslag under behandling (den europæiske editionskendelse), som også kan siges at have ekstraterritorial effekt (EU efterforskningsmyndigheder kan kræve data udleveret fra tjenesteudbydere i USA) på en måde som måske minder om CLOUD Act; der er igangværende forhandlinger om en tillægsprotokol til Cybercrimekonventionen under Europarådet som skal gøre det lettere at få data udleveret fra onlinetjenester på tværs af landegrænser uden om MLAT-processen (der anses for at være for besværlig); og der er (som den tredje bold i luften) forhandlinger mellem EU og USA om en lignende bilateral aftale (hvor EU vil tage udgangspunkt i forordningen om den europæiske editionskendelse i stedet for CLOUD Act).

Det er meget kompliceret (for at sige det mildt), og hvis vi skal tale om Danmark bliver det endnu mere kompliceret på grund af retsforbeholdet.

Et er praktisk virkelighed, et andet jura.

Er juraen virkelig så fjern fra virkeligheden at man siger at fordi Microsoft EU er en seperat juridisk enhed fra Microsoft Seattle, så er data gemt i Office 365 af EU kunder sikre ?

Microsofts afdeling i Irland er europæisk virksomhed, som er underlagt GDPR (samt øvrig EU-lovgivning og lovgivning i Irland).

GDPR artikel 48 siger at Microsoft Irland ikke kan overføre personoplysninger til efterforskningsmyndigheder i USA alene på grundlag af en amerikansk dommerkendelse, uden om MLAT processen eller anden international US/EU aftale.

CLOUD Act siger at Microsoft Irland, som datterselskab af Microsoft, er forpligtet til at udlevere data på en amerikansk kendelse.

Microsoft kan ikke overholde begge love (EU og USA).

Det er en klassisk lovkonflikt mellem to staters lovgivning, som reelt kun kan løses ved internationale traktater mellem EU og USA (den klassiske løsning er MLAT, som involverer myndigheder og domstole i begge lande; men det går "for langsomt" synes visse regeringer, eller rettere: temmelig mange regeringer).

Eller vil man med GDPR i hånden kunne give Microsoft EU en monsterbøde alene fordi de har givet DevOps holdet i Seattle adgang til data gemt på server på servere i EU?

Hvis en Microsoft teknikker i Seatle har adgang til personoplysninger lagret hos Microsoft Irland er der tale om en tredjelandsoverførsel af den type som Schrems-dommene behandler. Hvis Microsoft eksempelvis er databehandler, og har garanteret den dataansvarlige at personoplysningerne ikke forlader EU (for at undgå de vanskelige overvejelser om SCCs), vil denne teknikkeradgang udgøre en overtrædelse af GDPR (den dataansvarliges forpligtelser efter artikel 28) fordi der sker en overførsel til en underbehandler i et usikkert tredjeland uden en aftale med den dataansvarlige og uden et gyldigt overførselsgrundlag i GDPR kapitel V. Det vil kunne sanktioneres med bøder efter GDPR.

Dataoverførsler over landegrænser og forskellige myndigheders adgang til data på tværs af landegrænser er et meget kompliceret emne.

Jeg tror mange slet ikke forstår hvor vakkelvornt og tilfældigt virkende jura over landegrænser er til at begynde med.

Jeg tror mange slet ikke forstår hvor vakkelvornt og tilfældigt virkende jura over landegrænser er til at begynde med.

Måske ender det med at vi må give afkald på enten internettet eller nationalstaterne..

Måske ender det med at vi må give afkald på enten internettet eller nationalstaterne..

Ja, jo.

Som jeg ser det, er problemet lagring og databehandling i "Cloud". Internettet er mere og andet end det.

Penge er gud, og tid er penge !!!! Vi skal også lige huske at rigtigt mange ikke aner en fis om alt dette, det skal bare virke OG VÆRE LIGETIL (læs LET) ! Hvordan vil man lige omgå det allesteds værende sløs med sikkerhed som mennesket (over hegnet hvor gærdet er lavest) i sin eklatante dovenskab, lige lægger krypteringsnøglen op på en sky og deler med div uden at vide det mindste om at 90 % af dem der deles med har mail adr løsninger med amerikanske aner, eller for den sags skyld at den sky nøglen er lagt op på i virkeligheden også er af amerikansk oprindelse. De fleste aner INTET om alle disse ting, fatter endnu mindre og lytter alligevel ikke ret godt når det skal gå stærkt (det siger cheferne at det skal, DET SKAL VÆRE KLARET FOR EN TIME SIDEN), der sidder nogen der koster tusindvis af $ i timen ! Med et usa der vil være et verdens herredømme, og oftest agere sådan, samt at usa er dem der har kastet, ufattelige $ udi teknologi, og stadig gør det, så har de grunde til at tænke sådan, men idag er usa ikke dem med de dårligste lønninger/forhold, noget vi "prisbevidste blegansigter" virkelig intenst fokusere på, så om ikke så længe kommer vi endnu mere i lommen på kina, og det er squ ikke bedre, kun anderledes ! Grådighed og dovenskab (plus den velbegrundede uvidenhed) gør alt det denne artikel, og kommentarerne, handler om til en øvelse i ligegyldigheder, for da flertallet ikke har skyggen af chance for at gennemskue div. it relaterede tilhørsforhold, og når alt arbejde skal vær klart i forgårs, så vil de letteste løsninger stå på første række ! Jeg har forsøgt at være sammenhængende ! I må have det så pragtfuldt som muligt !

Tusind tak for dit udførlige svar, Jesper. Jeg ved den slags tager længere tid end man tror, og jeg er meget taknemmelig.

Så kan jeg også blive lidt klogere i stedet for kun at lufte mine gamle kæpheste igen og igen...

GDPR artikel 48 siger at Microsoft Irland ikke kan overføre personoplysninger til efterforskningsmyndigheder i USA alene på grundlag af en amerikansk dommerkendelse, uden om MLAT processen eller anden international US/EU aftale.

CLOUD Act siger at Microsoft Irland, som datterselskab af Microsoft, er forpligtet til at udlevere data på en amerikansk kendelse.

Microsoft kan ikke overholde begge love (EU og USA).

Det er ganske rigtigt. Men borgere i EU skal overholde EU lovgivning. Det kan godt være at Microsoft ejer en server der står i et EU datacenter, men hvis der ikke er nogen der vil pille data ud af serveren og sende samme til USA så er Microsoft i den situation at de gerne vil udlevere data men ikke er i stand til dette. Dette må være en ønskværdig situation for alle andre end NSA.

Hvis en Microsoft teknikker i Seatle har adgang til personoplysninger lagret hos Microsoft Irland er der tale om en tredjelandsoverførsel af den type som Schrems-dommene behandler.

Det er netop pointen. Der er ikke noget problem med at Microsoft ejer servere i Irland. Problemet opstår når personer udenfor EU får lov til at tilgå/administrere disse servere. Problemet er "follow the sun" princippet for management og support. Det er det vi skal af med og det er helt klart muligt. Det vil gøre datacentre i EU dyrere, men det lever vi nok med.

Loven bør gøre det individuelt strafbart for personer at exportere følsom information til servere der ikke opfylder EU krav. Et af kravene bør være at kun EU personel har fysisk og elektronisk adgang til servere. Og at det er ulovlig og personligt strafbart for EU personer at give adgang til disse servere til ikke-EU personer.

Når det skal være individuelt strafbart, så er det fordi en EU-manager hos en US cloud-provider der modtager en ordre om at udlevere data fra en US-manager så blot kan sige at det må han ikke i henhold til loven. Case closed.