bloghoved ole tange

Schrems' positivliste

Hvis du ikke var til Max Schrems' foredrag ved https://infosecurity.v2.dk, så gik du glip af noget. Sjældent har jeg set nogen kommunikere så klart. Det blev heldigvis optaget, så jeg kan klart anbefale at se foredraget.

Illustration: Ole Tange

Schrems taler naturligvis om Schrems II-dommen. Den bygger bl.a. på Snowdens afsløringer: Hvis USA tvinger deres virksomheder med FISA (som er et totalt misvisende navn: Man kan netop ikke sige 'fis a' til myndighederne) og CLOUD Act til at udlevere data, så kan de ikke garantere, at vore data hos dem er lige så sikre som GDPR kræver, og dermed kan vi ikke overholde GDPR, hvis vi lægger persondata hos dem. Selv hvis virksomheden har et uafhængigt datterselskab i EU, så er det tydeligt, at Schrems ikke har tillid til, at der i praksis er nok armslængde.

Det er rart med så klar en melding. Det betyder, at du har en væsentlig udfordring, hvis du er afhængig af cloud services, der kun leveres af virksomheder i ovenstående kategorier. Men det betyder også, at din udfordring er meget mindre, hvis du f.eks. blot har brug for at køre noget Kubernetes, og egentlig er ligeglad med, hvem din cloududbyder er.

Jeg spurgte Schrems: Hvis jeg skal vælge en cloududbyder til at køre noget Kubernetes, hvem skal jeg så vælge, hvis jeg ikke gider forholde mig til Schrems II-dommen? Med andre ord: Hvem er på positivlisten?

Noyb har stillet 4 simple spørgsmål til en række online services. Spørgsmålene er mere generelle end blot cloududbydere, men er sikkert fine at bruge.

Jeg kunne også godt tænke mig at vide, hvem der tilbyder AMD-SEV, så spørg også: Do you provide servers with AMD Secure Encrypted Virtualization (SEV)?

Skal vi ikke prøve sammen at lave en liste over alle de cloududbydere som danske virksomheder bruger?

Send de 4+1 spørgsmål til dine cloudleverandørere, og post en kommentar med deres svar. Så samler jeg resultatet om nogle uger.

Positivlisten

(Opdateres løbende).

  • Fab-IT: Ingen transfer ud af EU, N/A, N/A, N/A, AMD-SEV kan leveres men kræver aftale, 100% danskejet.

Boblere

(Sammenlignligt svar fra virksomheden mangler)

  • Hetzner

  • Exoscale.com

  • A/S ScanNet

  • Curanet A/S

  • Bahnhof

Kommentarer (49)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Klavs Klavsen

Er placeret i tyskland og man kan som kunde, trække en databehandler aftale så man efterlever GDPR (og deri står selvf. intet om at de har samarbejdsfirmaer der bor udenfor EU, som har adgang til kunde data).

De leverer VMs (via deres cloud api - som f.ex. terraform understøtter) - så man kan rulle et kubernetes setup op - ligesom man kan mod AWS, Google mv.

De har ikke en managed k8s service endnu dog. De har også billige fysiske servere - så man ved hvad man har :)

  • 16
  • 2
#2 Christian Nobel

Jeg er ved at flytte min servere fra DigitalOcean til Hetzner.

Det er ikke noget avanceret, bare de mindste VM's - men jeg har erfaret(følt), uden dog decideret at kunne bevise det, at Hetzner er betydeligt hurtigere end DO.

Især tror jeg (igen er det gætteværk) at DO har en tilbøjelighed til at nedprioritere VM's hvor der ikke har været nogen synderlig aktivitet et stykke tid, så skal de ligesom "starte op" igen.

Og bortset fra det, så får man helt kontant dobbelt så meget lager hos Hetzner, og 10 gange så meget traffik.

  • 8
  • 0
#3 Klavs Klavsen

Down vote? Jeg ville blive så glad hvis man fortalte HVOFOR man down votede - måske jeg kan lære noget?

Jeg påstår ikke at Hetzner har ligeså avanceret en GUI til at styre automatisk dns osv. som AWS/Google har - men det kan faktisk løses på andre måder, hvor man så tilgengæld undgår den Vendor-Lockin der følger med.

Kubernetes (og VMs) kan sagtens laves, så man er vendor uafhængig og kan pege sin automatisering i mod "en af flere" udbydere.. så man kan have multi-site og vælge at overholde GDPR :)

  • 7
  • 6
#6 Christian Nobel

Sæt Prometheus node exporter op - og se på dine metrics hvad der faktisk sker/ikke sker - og sammenlign metrik'er for f.ex. IO svar tider - mellem dine VM'er

Joeh, men jeg har sådan set allerede besluttet mig til at flytte over til Hetzner, så jeg er helt sikker (så sikker som man nu kan være) på der ikke er amerikanske interesser i mine servere, så jeg vil såmænd ikke dvæle så meget mere i det - det var bare ment som en observation.

  • 4
  • 0
#7 Johnny Lüchau Blogger

Vi har snart 20 vps'er hos Hetzner og er meget tilfredse. De er billige og nemme at arbejde med.

Lige præcis i dag annoncerede de at de åbner datacenter i USA. Og så endda i spion-staten Virginia. Det bekymrer mig.

Det ville være fedt hvis de åbnede i Danmark i stedet.

Anyway, der er jo mange andre alternativer. Vi er ved at teste First-colo og scaleup.

  • 6
  • 0
#8 Kristian Thy

Lige præcis i dag annoncerede de at de åbner datacenter i USA. Og så endda i spion-staten Virginia. Det bekymrer mig.

De skriver på deres hjemmeside at det er deres servere placeret i et datacenter ejet af tredjepart. Så længe de ikke åbner et datterselskab derovre burde det ikke have indflydelse på hvad USA kan gøre ved deres eksisterende datacentre i Tyskland og Finland.

  • 8
  • 1
#9 Andy Fischer

Ikke relevant i forhold til emnet, men blot til orientering. Pas på med at komme i uføre med Hetzner's økonomiafdeling. De fungerer som en mellemting mellem en aarhusiansk abonnements-webshop og en multi-level-marketing-virksomhed. Jeg er på vej ind i tredie års kamp med en fejl, de selv var ansvarlige for, men ikke ønsker at indrømme.

  • 4
  • 0
#12 Steffen Sølling

Til info har jeg lige skrevet en email til Max Schrem.

Jeg skrev:

Emnefelt: Technical solution making mass surveillance and other data abuse more difficult

Dear Max Schrems

I have just watched your https://vimeo.com/630902038/00a3643c23 talk.

I think there is a technical solution which will make mass surveillance and other data abuse more difficult: Instead of large tech giants having control over our data, we can own it ourselves.

Dr. Craig Steven Wright tells us that it is on his roadmap as you can hear and see in https://youtu.be/OMJPvweuic8.

I am certain Dr. Wright created Bitcoin, and in a few days or weeks I am pretty sure that during the Kleiman vs Wright trial which is taking place in Florida at the moment the whole world will be able to see convincing evidence proving that Dr. Wright created Bitcoin. You can find daily media reports from the trial at https://www.youtube.com/c/CoinGeek.

I have recently written a long piece to Danish IT and news media about Bitcoin and the court case. I have uploaded a copy to https://www.scribd.com/document/537139971/Gmail-Nyhedstip-Formentlig-N%C.... It is in Danish but if you are interested enough I suppose you can have it translated by translate.google.com or another service.

Best regards Steffen Sølling Master of Science (Economics and Business Administration) from Copenhagen Business School, and former Microsoft Certified Systems Engineer (in Windows NT 4.0 and 2000) Founder of https://bitcoinsteffen.com/ in 2015 Denmark https://twitter.com/bitcoinsteffen

  • 1
  • 13
#17 Maciej Szeliga

Korrekt vi er ejet af HG med flere, men alt hosting for vores danske kunder foregår i Danmark

Det er ikke nok for at holde sig ude af FISA 702 - Max beskriver meget nøje problemet i videoen: man skal være et datterselskab med ledelse i EU og ingen adgang fra moderselskabet til datacentrene (hverken fysisk eller elektronisk) for at kunne sige til sin ejer at udlevering af data fra europæisk datacenter jf. FISA 702 er i modstrid med GDPR og derfor ikke kan gennemføres.

Derfor er Amazon, Apple, Facebook, Google, Microsoft og alle andre ramt - uanset hvor deres datacentre er placeret. Jeg har i øvrigt set en datacenteroperatør i EU som er ejet fra USA som har lavet denne konstruktion - jeg kan ikke lige huske hvilken.

Du scorer jo ikke ligefrem point hverken hos DoD (NSA's og CIA's moderorganisation) eller hos DoJ (mederselskab til FBI) hvis du melder ud at du vil beskytte dine udenlandske kunder fra lovlige (jf. USA's lovgivning) amerikanske interesser, så det holder man skjult indtil hele konstruktionen er på plads, kørende og kunderne er migreret.

  • 9
  • 0
#18 Johnny Lüchau Blogger

Korrekt vi er ejet af HG med flere, men alt hosting for vores danske kunder foregår i Danmark.

Det er en udbredt myte at lokation er relevant. Det har altid kun drejet sig om hvem der har eller kan få, adgang til data. Her er EU Domstolen helt klar i spyttet: En helt eller delvist ejet amerikansk virksomhed er sårbar overfor amerikansk lovgivning og må således ikke benyttes til at behandle persondata. (Uanset om data befinder sig i New York eller Nr. Nebel...)

Det betyder jo altså at team.blue ikke må benyttes. Sorry.

  • 14
  • 1
#19 Johnny Lüchau Blogger

Tak for initiativet Ole.

Det er vigtigt at folk vænner sig til, selv, at foretage en grundig undersøgelse af deres potentielle leverandører og det er faktisk ikke så nemt.

Sidste efterår begyndte jeg at undersøge først danske leverandører og siden EU-leverandører. Ligesom du foreslår, så sendte jeg et lille spørgeskema til de første ti, men ikke én svarede.

Så prøvede jeg at få fat i deres DPO'er, hvilket var næsten umuligt. De få jeg kom i kontakt med, vrøvlede bare løs om at "data befandt sig indenfor EU" uanset hvilke datacentre de benyttede. Enkelte blev ved med at henvise til den ugyldige Privacy Shield-aftale.

Det stod hurtigt klart at det ikke nyttede at spørge og det ville være nødvendigt at researche selv.

Mit første fokus blev at finde ud af hvem der kunne få adgang til data hvis jeg brugte den pågældende leverandør. Det betyder at man skal vide hvem der ejer det datacenter som data ligger i. I Danmark er over 90% af vores datacentre ejet af amerikanske virksomheder, direkte eller via ejerskab af EU-virksomheder. Og så må man altså ikke bruge dem til personoplysninger!

Mange danske SaaS-løsninger som f.eks. Mailplatform / Marketingplatform, Dinero, Emply og mange flere, benytter disse "ulovlige" datacentre. De fleste marketing-platforme (e-mail) bruger Googles datacentre. Der er også en del som baserer sig på Global Connect (hvis ejerskab ender i USA).

I Danmark har vi fuldkommen mistet kontrollen med vores digitale infrastruktur.

Hvis vi ser lidt bredere ud i EU, så er det bedre, men stadig deprimerende. Det bliver hurtigt tydeligt at vi på ingen måde har kontrol over vores vitale digitale infrastruktur. Den er næsten fuldstændigt kontrolleret af amerikanske firmaer.

Jeg har brugt mange måneder og en del penge, på at finde frem til ejerskabet af de firmaer som vi lægger vores data hos. Min liste over "rene" leverandører er deprimerende kort, men der findes stadig en del datacentre i f.eks. Tyskland og Sverige som må benyttes. En del af dem har cloud-ydelser ovenpå.

Nå, men jeg er enig i at man kan spørge sig for, men min erfaring er at denne type "egen-kontrol" af leverandøren selv, ikke giver et retvisende resultat.

Mit råd er at man tegner hele dataflowet i en løsning op og derefter tjekker ejerskab af alle de involverede selskaber. Og så husk at amerikansk ejerskab, helt eller delvist, er lig med risiko. Og risiko er i henhold til GDPR, lig med "forbudt".

  • 11
  • 0
#20 Henning Wangerin

En helt eller delvist ejet amerikansk virksomhed er sårbar overfor amerikansk lovgivning og må således ikke benyttes til at behandle persondata.

Og så er det bliver besværligt.

Jeg har kigget på cvr.dk, og efter de info der kan findes der, solgte Hg Incorporations Limited tilbage i 2015 deres andel af team.blue Nordic ApS (cvr 37272272) som ejer team.blue Denamrk ApS (cvr 29412006) som har Scannet A/S som binavn

team.blue Nordic ApS er nu ejet af belgiske Combell N.V., og her stopper så sporet som jeg umiddelbart kan finde :-(

Så hvordan f###### skal man kunne finde ud af hvem der ejer ens hosting-leverandør?

Udover selvfølgelig at self-hoste på eget hardware, eller ved små firmaer som er til at overskue.

/Henning

  • 6
  • 0
#21 Johnny Lüchau Blogger

Ja, det kan ofte være meget svært at finde ud af hvem der ejer hvem. Og der er naturligvis en grund til at de prøver at sløre det. En af grundene er at ejerskabet i mange tilfælde havner samme sted, altså hos én ejer. Og det er det firma som f.eks. ejer Microsoft og Amazon osv. (Og det er hverken Bill Gates eller Jeff Bezos).

Jeg skrev lidt om det her: https://dataethics.eu/da/mange-danske-tjenester-bruger-underleverandoere...

  • 3
  • 1
#24 Johnny Lüchau Blogger

"Når BlackRock har 1.8% af stemmerettighederne, så har de ikke et kontrollerende ejerforhold".

Det er desværre ikke relevant hvor stor ejerandelen er. Da meget af den problematiske amerikanske lovgivning er hemmelig, så kender vi ikke rækkevidden af den. Det udgør en risiko som dataansvarlige er forpligtet til at undgå.

Jeg har rådført mig med Max Schrems' juridiske team i NOYB og de er enige.

Sorry....

  • 9
  • 2
#25 Johnny Lüchau Blogger

Igen, så er det ligegyldigt om de har adgang. De er sårbare overfor en delvist hemmelig amerikansk lovgivning, som kan pålægge dem at give adgang, uden at den dataansvarlige orienteres.

Det er nok til at de ikke må bruges.

  • 7
  • 1
#28 Johnny Lüchau Blogger

Nej, Datatilsynet nægter at håndhæve loven fsva. amerikansk-ejede virksomheder, så hvis du selv synes det er i orden at sende personoplysninger ud til usikre tredjelande, så kan du sikkert bare klø på.

Indtil vi får et rigtigt datatilsyn, må vi sætte vores lid til at folk vælger at behandle vores data med respekt.

(Ja, grin bare, jeg ved at de fleste skider på grundlæggende borgerrettigheder. De vil hellere have pengene...)

  • 11
  • 2
#29 Yoel Caspersen Blogger

"Når BlackRock har 1.8% af stemmerettighederne, så har de ikke et kontrollerende ejerforhold".

Det er desværre ikke relevant hvor stor ejerandelen er. Da meget af den problematiske amerikanske lovgivning er hemmelig, så kender vi ikke rækkevidden af den. Det udgør en risiko som dataansvarlige er forpligtet til at undgå.

Og hermed har du dømt alle børsnoterede selskaber ude, da der kunne risikere at være amerikanske aktionærer i ejerkredsen. Det virker en kende fundamentalistisk.

En ledelse, der er placeret i Danmark og udøver sit virke i Danmark i et dansk registreret selskab, er ligesom alle andre forpligtet til at følge dansk og europæisk lov.

Kan du forklare, hvordan en amerikansk mindretalsaktionær ved sin blotte tilstedeværelse i ejerkredsen kan influere de beslutninger, ledelsen tager, herunder pålægge ledelsen at bryde loven i det land, hvor selskabet og ledelsen opererer?

Ledelsen er ansvarlig over for bestyrelsen / generalforsamlingen, ikke de enkelte aktionærer.

  • 12
  • 0
#30 Johnny Lüchau Blogger

Og hermed har du dømt alle børsnoterede selskaber ude, da der kunne risikere at være amerikanske aktionærer i ejerkredsen. Det virker en kende fundamentalistisk.

Nu er det jo ikke mig der siger det, men EU Domstolen. Don't kill the messenger :-)

Men du har ret, det virker fundamentalistisk og det er fordi den hemmelige amerikanske lovgivning tvinger os til at gå med livrem og seler. Hvis der havde været en dom som præciserede hvilken form for ejerskab som EU Domstolen henviser til, samtidigt med at vi vidste hvad den amerikanske lovgivnings rækkevidde var, så ville vi (måske) kunne være mindre fundamentalistiske som du kalder det.

Indtil vi ved det, så har man som dataansvarlig pligt til at undgå enhver form for risiko.

Men som jeg har sagt mange gange før, så kommer GDPR jo EFTER almindelig anstændig opførsel. Du kunne da vel ikke finde på, bevidst, at krænke dine medborgeres/kunders grundlæggende rettigheder fsva. data, ved at udsætte dem for den risiko amerikanske databehandlere udgør?

  • 4
  • 0
#31 Christian Nobel

Indtil vi ved det, så har man som dataansvarlig pligt til at undgå enhver form for risiko.

Men det betyder jo at vi i praksis ikke kan bruge nogen cloududbyder overhovedet, for hvem kan være 200% sikre på ejerstrukturen bag et selskab.

Mon ikke vi er nødt til at være pragmatiske, og så stole på meget på f.eks. et tysk selskab som Hetzner - selv om de åbner et datacenter i USA, så kan amerikanerne næppe begynde at kræve at Hetzner skal udlevere data fra de datacentre som ikke er i USA, det må klart være uden for deres jurisdiktion.

Jeg har faktisk ret så meget tillid til at Hetzner værner en hel del om EU, og sagtens kan være i stand til at forklare amerikanerne hvor grænsen går.

Man kunne jo også forestille sig (det er rent gætværk fra min side) at grunden til Hetzner åbner et center i USA er for at tilfredsstille amerikanske kunder, men så også forvise dem til det, således at de ikke kommer til at agere trojansk hest for amerikansk jura i EU.

Og ellers så er det jo bare tilbage til selv at stå for hosting (og for mange af de bolchebutik servere der bruges rundt omkring er det nok heller ikke en helt uoverstigelig opgave.)

  • 6
  • 1
#32 Yoel Caspersen Blogger

Nu er det jo ikke mig der siger det, men EU Domstolen. Don't kill the messenger :-)

Har du en konkret kilde på det?

Jeg er helt med på, at en større aktionær kan påvirke ledelsen indirekte - herunder også aktionærer, som selskabet står i et afhængighedsforhold til (fx ved långivning, fremtidige investeringer etc.).

Men det er jo ikke det, der er påstanden her. Implicit er påstanden, at amerikanske myndigheder kan tvinge europæiske selskaber til at bryde europæisk lov, blot fordi der er en amerikansk (mindretals)aktionær i ejerkredsen. Hvordan skulle det i praksis lade sig gøre?

Jeg er med på, man kan bruge rockermetoder - fx trusler om internationale arrestordrer, indefrysning af aktiver m.v. - men hvorfor skulle disse metoder alene kunne bruges over for ledelser i selskaber med amerikanske aktionærer? Stort set alle borgere i vestlige lande er jo på den en eller anden måde sårbare over for amerikanske sanktioner.

Indtil vi ved det, så har man som dataansvarlig pligt til at undgå enhver form for risiko.

De fleste virksomheder opererer i den virkelige verden - det gør myndighederne heldigvis også.

Skal vi tage din fundamentalistiske tolkning til ende, kan man lige så godt melde sig ud af samfundet og flytte ud i en hytte i skoven. Danske virksomheder, der har servere stående hos GlobalConnect? Dømt ude. Virksomheder, der bruger netværksudstyr fra amerikanske leverandører, som vi jo ved har placeret bagdøre overalt? Ud med dem. Opbevaring af data på servere med amerikansk designede processorer, der kan fjernstyres af NSA? Væk med dem. Telefonisk behandling af data på telefoner med amerikansk software? Det dur selvfølgelig heller ikke.

Hvad er alternativet - teknologi fra kinesiske eller russiske leverandører?

Det bedst opnåelige scenarie er et, hvor persondata holdes nogenlunde ude af kløerne på tech-giganterne. At komme derhen er et kæmpe arbejde, men det kan kun lade sig gøre med en nogenlunde pragmatisk tilgang til tingene.

  • 5
  • 1
#33 Johnny Lüchau Blogger

Har du en konkret kilde på det?

Mere konkret end EU Domstolen?? Det kan næppe lade sig gøre. Du kan evt, læse Michael Hopps udlægning af dommen på Plesners blog fra juli 2020.

Stort set alle borgere i vestlige lande er jo på den en eller anden måde sårbare over for amerikanske sanktioner.

Det er rigtigt, men jo mere man gør sig afhængig af infrastruktur som er amerikansk-ejet, jo mere sårbar bliver man. Det handler om at få lidt af vores digitale suverænitet tilbage.

Virksomheder, der bruger netværksudstyr fra amerikanske leverandører, som vi jo ved har placeret bagdøre overalt? Ud med dem. Opbevaring af data på servere med amerikansk designede processorer, der kan fjernstyres af NSA? Væk med dem. Telefonisk behandling af data på telefoner med amerikansk software?

Nu synes jeg du bliver lidt fundamentalistisk ;-)

Men hvad forhindrer os i at bruge noget andet? Hvorfor bruger vi ikke bare de mange EU-baserede leverandører? Der laves f.eks. også netværksudstyr i flere EU-lande. Er det i virkeligheden bare dovenskab?

Hvad er alternativet - teknologi fra kinesiske eller russiske leverandører?

Det er sådan et sjovt argument, som ofte spilles på banen. Det som er sjovt er jo at ingen af de to lande er blevet afsløret i at misbruge vores data og dermed udføre meget grove krænkelser af vores rettigheder, men det er den amerikanske regering i høj grad.

Men som sagt, så er der EU-alternativer som kan bruges. Vi skal jo så bare sørge for at der ikke lige kommer en sniger fra "the usual suspects" i form af et opkøb, men det kan man jo styre ved at indføre lovgivning om at "kritisk infrastruktur" ikke må komme i farezonen. Ligesom vi har gjort med systemiske banker.

...en nogenlunde pragmatisk tilgang til tingene...

Jeg hører hvad du siger, men kan man tillade sig at være pragmatisk med andre menneskers private/personlige oplysninger?

  • 3
  • 3
#34 Yoel Caspersen Blogger

Mere konkret end EU Domstolen?? Det kan næppe lade sig gøre. Du kan evt, læse Michael Hopps udlægning af dommen på Plesners blog fra juli 2020.

Jeg går ud fra, du tænker på denne artikel. Jeg kan ikke umiddelbart finde noget i artiklen, som underbygger din påstand om, at andelen af amerikansk ejerskab er irrelevant. Derimod indeholder artiklen generaliteter om, at man skal forsøge at undgå, at data overføres til tredjelande (hvilket vi ikke er uenige om).

Jeg er dog stadig interesseret i at vide, hvordan en mindre, amerikansk-ejet aktiepost i et europæisk selskab kan give de amerikanske myndigheder adgang til det pågældende selskabs data.

  • 5
  • 0
#35 Johnny Lüchau Blogger

Jeg er dog stadig interesseret i at vide, hvordan en mindre, amerikansk-ejet aktiepost i et europæisk selskab kan give de amerikanske myndigheder adgang til det pågældende selskabs data.

Ja, det er vi alle sammen og deri ligger problemet.

Du må ikke som dataansvarlige løbe den risiko. Som jeg sagde ovenfor, så mangler vi indsigt i den hemmelige lovgivning og en juridisk afklaring.

Og så bør du jo heller ikke løbe den risiko. Det er andre menneskers rettigheder du leger med. Men sidstnævnte er et spørgsmål om moral.

  • 1
  • 3
#36 Michael Cederberg

Mere konkret end EU Domstolen?? Det kan næppe lade sig gøre. Du kan evt, læse Michael Hopps udlægning af dommen på Plesners blog fra juli 2020.

Jeg går ud fra, du tænker på denne artikel. Jeg kan ikke umiddelbart finde noget i artiklen, som underbygger din påstand om, at andelen af amerikansk ejerskab er irrelevant. Derimod indeholder artiklen generaliteter om, at man skal forsøge at undgå, at data overføres til tredjelande (hvilket vi ikke er uenige om).

Jeg er ganske enig. Og hvis det var den Johnny Lüchau henviste til, så tangerer det uvederhæftig argumentation.

Ja, det er vi alle sammen og deri ligger problemet.

Du må ikke som dataansvarlige løbe den risiko. Som jeg sagde ovenfor, så mangler vi indsigt i den hemmelige lovgivning og en juridisk afklaring.

Men Yoel har jo ret. Hvilken forskel gør det om der er en eneste aktie der er amerikansk ejet? Ledelsen adlyder bestyrelsen og bestyrelsen er valgt af aktionærer. Bortset fra rockermetoder så har jeg svært ved at se en dansk bestyrelsen tage en aktieejer med 1% af aktierne alvorligt. Specielt hvis det overtræder dansk lovgivning.

Så alt det der mumbo-jumbo om hemmelig lovgivning kan ikke bruges til noget med mindre du kan vise blot indikationer af at det har en betydning. Som jeg ser det, så er det kun dansk hemmelig lovgivning (måske europæisk lovgivning) der har betydning for en dansk virksomhed. Men ok, amerikanerne har lovgivning der går ud over amerikanske grænser men der betyder det bare ikke noget om der findes amerikanske mindretalsaktionærer.

Det virker i højrere grad som om du er ude i et ideologisk korstog uden sammenhæng med virkeligheden.

Men hvad forhindrer os i at bruge noget andet? Hvorfor bruger vi ikke bare de mange EU-baserede leverandører? Der laves f.eks. også netværksudstyr i flere EU-lande. Er det i virkeligheden bare dovenskab?

Fordi det europæiske leverandører har svært ved at følge med. Innovationsklimaet i Europa synes ikke at være i orden. Men i øvrigt kan du jo så kigge på indmaden til alle de der europæiske netværksprodukter ... den er i vid udstrækning designet af amerikanske virksomheder. Ligesom din PC eller din telefon ...

  • 6
  • 1
#37 Maciej Szeliga

Det er hvor ledelsen befinder sig og til dels hvor datacentrene og personalet er (da DHS/NSA/CIA/FBI ellers bare kan dukke op på adressen uden at indblande direktionen), aktionærer har normalt ikke adgang til virksomheden selv om de ejer den gennem aktier og de kan ikke tvinge en direktion som sidder i EU til at gøre noget i strid med EU's lovgivning - Direktionen er så beskyttet af EU's love og aktionærene kan højst sælge aktierne... og det vi godt nok være reklame for virksomheden.

  • 4
  • 1
#38 Michael Cederberg

Det er hvor ledelsen befinder sig og til dels hvor datacentrene og personalet er (da DHS/NSA/CIA/FBI ellers bare kan dukke op på adressen uden at indblande direktionen), aktionærer har normalt ikke adgang til virksomheden selv om de ejer den gennem aktier og de kan ikke tvinge en direktion som sidder i EU til at gøre noget i strid med EU's lovgivning - Direktionen er så beskyttet af EU's love og aktionærene kan højst sælge aktierne... og det vi godt nok være reklame for virksomheden.

Enig. Og den nemmeste vej ud af den her sitation ville være hvis EU gjorde følgende:

Men kunne opfinden en datacenter GDPR mærkning hvor et datacenter kunne selvdeklarere sig som compliant hvis det overholdte følgende:

  1. Kun europæiske borgere måtte have fysisk adgang til datacentret.
  2. Kun europæiske borgere må have adgang til at administrere systemer i datacentret.
  3. Det er ulovligt at give andre adgang til datacentret - både fysisk og til elektronisk at administrere systemer. Individer straffes med op til 10 års fængsel hvis de overtræder dette.
  4. Den ansvarlige for datacentret skal straks give myndighederne notits hvis ovenstående forpligtigelser ikke kan overholdes. Dette gælder også selvom vedkommendes ansættelse er ophørt.

På den måde vil man også kunne håndtere amerikansk (eller kinesisk, russisk) ejerskab. Selv hvis ejerne af datacentret dukker op ved porten, så vil det være ulovligt at lukke ham ind. #3 skal sikre at ingen europæere er i tvivl om hvordan han skal forholde sig til krav fra ikke-europæiske myndigheder. For det er helt rigtigt at ejerskab er ligegyldigt. Det er adgang der betyder noget.

  • 6
  • 1
#39 Maciej Szeliga

Den ansvarlige for datacentret skal straks give myndighederne notits hvis ovenstående forpligtigelser ikke kan overholdes. Dette gælder også selvom vedkommendes ansættelse er ophørt.

Problemet er bare at præcis den formulering er i strid med FISA 702 og dermed ulovlig for borgere i USA / fastboende i USA / datacentre i USA og derfor kan/skal/bør ignoreres af dem.

Det er det Schrems påpeger: man kan ikke lave noget som både overholder FISA 702 og GDPR,

  • 0
  • 0
#40 Michael Cederberg

Problemet er bare at præcis den formulering er i strid med FISA 702 og dermed ulovlig for borgere i USA / fastboende i USA / datacentre i USA og derfor kan/skal/bør ignoreres af dem.

Det er det Schrems påpeger: man kan ikke lave noget som både overholder FISA 702 og GDPR,

Det er sikkert rigtigt. Men hvis det er de regler for europæere der arbejder i datacentrene så er det det der gælder i Europa. Hvis der ikke er nogen europæere til at finde det data de har dommerkendelse på og hvis politiet forhindrer dem i at komme ind i egne datacentre i Europa fordi de er ikke-europæere så kan de ikke komme til data. Og så er historien ikke længere. Det selvom virksomheden er ejet af ikke-europæere og at de servere data findes på retmæssigt er deres.

På den måde skubber man bolden over til Google, Microsoft, Facebook og Apple. Man siger: I er velkomne i Europa men I skal følge vores regler. Hvis de amerikanske myndigheder forhindrer jer i at drive forretning i Europa så er det dem I skal brokke jer til.

Det er grundlæggende ikke anderledes end at tyskere skal følge danske færdselsregler hvis de kører bil i Danmark. Kan de ikke leve med 130 km/t på motorvejen så må de blive syd for grænsen.

I stedet ender disse diskussioner altid med at degenerere til had til amerikanere, oprør mod magten, open source, etc. Men det har intet med problemet at gøre.

  • 6
  • 0
#41 Ole Tange Blogger

Tak for de 4 input.

Hetzner er placeret i Tyskland

Exoscale.com er sweizisk ejet og drevet.

A/S ScanNet og Curanet A/S

vores svenske venner fra https://www.bahnhof.net/ gør det godt!

Men hvis vi skal gøre listen sammenlignlig, så synes jeg, I skal stille spørgsmålene til dem, og poste svarene her. Ellers bliver det noget uklart, hvad de egentlig opfylder.

Schrems siger det ikke direkte, men hvis den europæiske virksomhed signifikant ikke-europæisk ejerandel, så er det også tvivlsomt, om de kan modstå et pres fra USA. Så måske skal vi udvide spørgsmålene med: ”Er I >51% europæisk-ejede?”

  • 1
  • 0
#42 Johnny Lüchau Blogger

I stedet ender disse diskussioner altid med at degenerere til had til amerikanere, oprør mod magten, open source, etc. Men det har intet med problemet at gøre.

Det er bestemt ikke sådan jeg opfatter det. Version2s læsere er udmærket i stand til at adskille "had til amerikanere" med en sund skepsis overfor en regering som konsekvent overtræder EU-borgernes grundlæggende rettigheder.

Og så er det jo ikke "oprør mod magten" at påberåbe sig sine grundlovssikrede rettigheder, med mindre "magten" er galt afmarcheret i forhold til loven. Det er vel nærmest en borgerpligt!

(Jeg har ikke bemærket at open source bliver nævnt i væsentligt omfang i denne debat og hvorfor skulle det også det?)

I denne tråd, som jo egentligt handler om noget helt andet, har debatten cirklet om i hvilket omfang amerikansk ejerskab af et dansk/EU-selskab, udgør en risiko for at være underlagt amerikansk lovgivning. Og der er alligevel ingen af os der ved det.

  • 3
  • 1
#43 Michael Cederberg

Schrems siger det ikke direkte, men hvis den europæiske virksomhed signifikant ikke-europæisk ejerandel, så er det også tvivlsomt, om de kan modstå et pres fra USA. Så måske skal vi udvide spørgsmålene med: ”Er I >51% europæisk-ejede?”

Det er faktisk ikke så nemt. For man kan sagtens have bestemmende indflydelse med 10% af aktierne. Så det handler om hvem der har bestemmende indflydelse. Hvem det er er ikke alt klart.

Derfor er der brug for at EU landene laver lovgivning. Lovgivning der gør det ligegyldigt hvem der er ejere.

I denne tråd, som jo egentligt handler om noget helt andet, har debatten cirklet om i hvilket omfang amerikansk ejerskab af et dansk/EU-selskab, udgør en risiko for at være underlagt amerikansk lovgivning. Og der er alligevel ingen af os der ved det.

Ja ... men du indikerede at blot man havde en amerikansk ejer der ejer en ganske lille aktiepost så var man i fare. Det er åbenlyst forkert. Det handler om hvem ledelsen i virksomheden adlyder. Og selv uden noget amerikansk lederskab kan man opleve at amerikanerne forsøger med rockermetoder pakket ind i fin lovgivning. Hvis du fx. sælger services til Iran og prissætter dem i USD så har du et problem.

Derfor er det bydende nødvendigt at EU landende laver lovgivning der gør det "meget" strafbart for folk der arbejder i datacentre at udlevere data. Kun på den måde kan man beskytte dem mod pression. Man kunne så samtidigt udvide lovgivningen sådan at det også var ulovligt at udlevere personlige oplysninger til europæiske myndigheder uden dommerkendelse men det er en ganske anden sag.

  • 2
  • 0
#44 Johnny Lüchau Blogger

Ja ... men du indikerede at blot man havde en amerikansk ejer der ejer en ganske lille aktiepost så var man i fare. Det er åbenlyst forkert.

Som dataansvarlig har du for det første pligt til at navigere uden om risiko for at data falder i de forkerte hænder. Da vi ikke kender "størrelsen" på den risiko ved helt eller delvist amerikansk ejerskab, så er man tvunget til at undgå disse firmaer.

For det andet så har man jo nu omvendt bevisbyrde. Det betyder at dataansvarlig skal godtgøre/dokumentere at data ikke kan falde i de forkerte hænder, inden man bruger en leverandør. (Hvordan skal man gøre det?)

Så jeg vil mene at jeg har åbenlyst ret, når jeg siger at man ikke kan overholde GDPR (og almindelig god opførsel) ved at bruge firmaer med amerikansk ejerskab.

  • 0
  • 2
#45 Michael Cederberg

Da vi ikke kender "størrelsen" på den risiko ved helt eller delvist amerikansk ejerskab, så er man tvunget til at undgå disse firmaer.

Man er selvfølgeligt nødt til at vurdere risikoen. Ellers kan jeg sidde og opfinde risici fra nu af til juleaften som du heller ikke kan vurdere risikoen for og som du så er nødt til at beskytte dig imod.

Eksempler:

  • Der er risiko for brug af amerikansk designet udstyr - måske har amerikanerne hemmelig lovgivning der kræver at hvis data passerer gennem amerikansk udstyr så skal det udleveres.
  • Der er risiko for ansatte der har besøgt USA - måske har amerikanerne hemmelig lovgivning der ...
  • Der er risiko ... hemmelig lovgivning der ...
  • ...
  • Der er risiko for at amerikanerne har en grøn marsmand i kælderen i area 51 som neutron-elektro-telepatisk kan aflæse indholdet af SSD'er der ikke er pakket ind i en guld-rhodium legering.
  • Der er risiko for at en sur medarbejder lægger alt ud på internettet ... helt uden amerikanerne er involveret.
  • Der er risiko for at du fucker sikkerheden op i din applikation sådan at data kan tilgås af bad guys.

Løsningen synes således at være hardware pakket ind i guld, ingen ansatte og ingen applikation. Tak for kaffe!

Så jeg vil mene at jeg har åbenlyst ret, når jeg siger at man ikke kan overholde GDPR (og almindelig god opførsel) ved at bruge firmaer med amerikansk ejerskab.

Jeg er ganske enig i at der kan være problemer hvis det er amerikanere der kontrollerer virksomheden. Men hvis det blot er 1% (som vi snakkede om tidligere) så er det naturligvis nonsens.

  • 4
  • 0
#46 Troels Arvin

UpCloud (som mig bekendt har hovedsæde i Finland) har svaret mig:

can confirm that no user data is moved between data centers under any circumstances. If you deploy a server in FI-HEL2 for example, the data on that server stays there only.

De tilbyder ikke AMD Secure Encrypted Virtualization (SEV).

  • 0
  • 0
#48 Troels Arvin

Sune, hvad er det, som du savner i forhold til de spørgsmål, som Ole stiller? Hvis du savner mere om firmaets ejerform osv: Som nævnt har det base i Finland, og nogle søgninger viser, at hovedinvestorerne er europæiske.

  • 0
  • 0
#49 Rune Philosof

Det væsentlige i Danmark er Datatilsynets vejledning. De siger at hvis der står i din aftale med databehandleren, at de ikke overfører data ud af EU (uden undtagelser), så er du ikke ansvarlig, hvis de bryder den aftale og gør det alligevel.

  • 0
  • 1
#50 Agge kempff-Andersen

Det er ikke min forståelse at det er sådan det forholder sig. Der er kædeansvar og i forhold til erstatninger og måske også bøder(?) vil man nok gå efter den i kæden med størst kapital. Bagefter kan de forskellige aktører i kæden, så finde ud af hvordan en erstatning/bøde skal fordeles mellem dem.

Det er i al fald sådan jeg har hørt det forklaret af en ekspert på området.

  • 0
  • 0
Log ind eller Opret konto for at kommentere