Skybrud

Sjoven varede i så fald i tre dage:

I tirsdags åbnede følgende kendelse for, at man som europæer med nogenlunde formel ro i maven kan benytte amerikanske cloud-faciliteter:
https://www.washingtonpost.com/news/volokh-conspiracy/wp/2017/01/24/2nd-...

Men det har Trump så lige omgjort?

På cloud-markedet mangler i dén grad leverandører med hovedsæde i EU. Jeg har hørt om følgende muligheder, begge vistnok med hovedsæde i Frankrig:
https://www.ovh.ie/
https://www.gandi.net/

Med cloud-leverandør tænker jeg på steder, hvor man kan købe+oprette storage- og/eller compute-ydelser via forbrugsafregning, via en selvbetjeningsløsning.

Desværre er der mig bekendt ingen EU-baserede cloud-leverandører, som kan hitte ud af at fakturere til et EAN-nummer :-(

Sludder...
Læs: "to the extent consistent with applicable law"

Og læs så:
https://www.version2.dk/artikel/microsoft-faar-paa-haengende-haar-medhol...

Altså er data stadig sikker (hvis det er i EU).

Det kan selvfølgelig ændre sig, men at sige det er tilfældet nu er ganske enkelt ikke korrekt.

https://www.version2.dk/artikel/microsoft-faar-paa-haengende-haar-medhol...

Altså er data stadig sikker (hvis det er i EU).

Det kan selvfølgelig ændre sig, men at sige det er tilfældet nu er ganske enkelt ikke korrekt.

Prøv lige at læg mærke til datoerne for de to ting - det har lige præcis ændret sig med Trumps seneste dekret.

Det handler vel basalt set om, hvilken kendelse, der har overhøjhed.

Det "Umbrella Agreement" der er basis for Privacy Shield fra amerikansk side, der giver EU borgere særlige rettigheder...

Eller

Trump's seneste Executive Order, der fratager ikke-amerikanere beskyttelse.

Hvis der er nogen herinde, der er skarpe på amerikansk lovgivning på dette felt, ville det være spændende at høre.

Nej det er ikke Privacy Shield der her er spørgsmålet - det er den lov - "Umbrella Amendment", der gav mulighed for at EU ville acceptere USAs beskyttelse ift. Privacy Shield.

Den del er amerikansk lov, og udstrækker Privacy Act til netop EU borgere.

Men spørgsmålet er så, hvornår den kodestump eksekveres... FØR eller EFTER Trumps kodestump der siger "Fjern alle rettigheder"... so to speak :)

Som jeg læser det, er det en ændring i Privacy Act.
Det vedrører således ikke aftalerne EU-US Privacy Shield og EU-US Umbrella Agreement.
Men vi må afvente og se det videre forløb og reaktioner.
Men ingen tvivl om, at Trump er bindegal i låget.

.. af tre grunde.
1. Vores alle sammens privatliv - eller nu mangel på samme...
2. Verdens tilstand hastigt forværret - "watching a train wreck happen" ikke i slowmo, men i overhastighed..
3. Udspillet må vel også betyde åben krig med Snowden, hvis fremtid vel nu er blevet endnu mere usikker.

Hysteriet lever i denne tråd. Data har da aldrig været sikre i USA eller nogen andre lande. At stole på at nogen som helst fremmed magt vil undlade at stikke næsen ned i ens data bare fordi de siger det - er per definition ufatteligt naivt.

Nej det har ikke...
At Trump giver NSA lov til at hente informationen, gør ikke at Microsoft, AWS og andre pludselig skal give dem data, der ligger på servere i EU. Det er netop det de har fået medhold i. Altså kan NSA tude så meget de vil, men loven siger noget andet...
Præsidenten har ingen direkte magt over lovgivning i USA ud over mulighed for at veto. Han kan ikke "Trumpe" dem igennem ;)

Så Trumps executive order, betyder at det er en rigtig dårlig ide at have EU borger data på servere i USA, men i EU er de stadig beskyttet.
Mit bud er at AWS, Microsoft osv. vil gå meget langt for at beskytte netop dette, da det er hele grundlaget for deres cloud forretning. Det kan endda måske komme på tale at splitte op i flere virksomheder?

Engang kunne man kysse en frø og måske finde en prinsesse eller en fortryllende pige.
I dag ved man ikke om det ender med en Trump, glimmer eller flimmer uden indhold ;)

Det samme med Trumps "executive orders" / dekreter, pt. kun bogstaver på papiret, til fryd for stemmekvæget. Men nogle dekreter vil partifællerne antagelig stå bag her i valgsejrrusen, men i fremtiden kan der ske meget ;)

Et præsidentielt dekret er en blanding af en lov og en bekendtgørelse. Det kan ændre anvendelsen af en lov, men er ikke nye love. Til gengæld har den samme effekt som en lov.

-Ligesom en lov kan et præsidentielt dekret udfordres ved en domstol.

-En præsident skal enten finde forfatningsmæssigt eller parlamentarisk grundlag for at håndhæve sine præsidentielle dekreter.

Eller blot lovgivning der siger at datacentre i EU skal opereres af EU personel og ikke må kunne fjernstyres fra steder udenfor EU. Lovgivning der siger at det er strafbart at flytte data fra EU datacentre til steder udenfor EU. Så vil det være ligegyldigt hvem der ejer disse datacentre.

Der er nok ingen tvivl om at USA's efterretningstjenester hele siden har lyttet med på både amerikanske og EU borgeres data. De er taget så mange gange i at have bøjet sandheden at man ikke kan tro andet. Og det ved EU landene også - på den måde kan de omgå egen lovgivning om overvågning ved at lade USA gøre det beskidte arbejde. At det så giver USA en fantastisk fordel er et kedeligt minus.

Trump vil nu nok gå ud og sige at han nok skal overholde aftalen - det vil Microsoft, Google, Facebook, Amazon etc. presse ham til og det vil ikke give ham problemer.

Resultatet vil være status quo: USA lytter med, men kan ikke bruge den tilvejebragte information offentligt (dvs. i retsager o.lign.) fordi det vil afsløre at de bryder aftalen.

https://euobserver.com/justice/136699

Hvilket jo er en stor forbedring - som bekendt(?) så er det første trin hen imod at løse et problem erkendelsen af at det findes.

Jeg har ALDRIG fattet at både privat personer, virksomheder og myndigheder tiltror ukendte personer at holde styr på vores følsomme informationer.
Dansk militær, danske myndigheder og danske virksomheder som vil beskytte deres egne informationer bør klart udelukkende bruge inhouse cloud eller i værste fald en dansk ejet og opereret cloud leverandør.

At Indiske og amerikanske virksomheder hoster danske myndighedsdata er helt helt hen i vejret... i den del af vejret der lugter rigtig grimt og består af varm luft.

mvh
Kim Madsen

Passer ikke, eneste grund til Microsoft ikke skal udlevede det data er fordi de server er Microsoft ireland egendom , og de opere som selvstændig undervirksomhed, mig bekendt har apple, amazon ikke denne opdeling og vile ikke fald ind under samme betragtning som microsofts ireland.

Microsoft er forsat cloud databehandler i Dublin (Microsoft har direkte adgang til data). Dette gælder for alle deres datacentre i de forskellige regioner. Eneste undtagelse, er deres nye datacenter i Tyskland.

Databehandler vil her være et datterselskab under Deutsche Telekom.
Det betyder at anmodninger om dataadgang, skal gå igennem de tyske myndigheder.
Denne model kan i fremtiden danne presedens for andre amerikanske cloud udbydere som Google og Amazon.

http://news.microsoft.com/europe/2016/09/21/microsoft-azure-germany-now-...

Det er allerede oppe og køre https://azure.microsoft.com/da-dk/overview/clouds/germany/

Jamen..

Hvis du er BigBoss for BigCorp, så har du - pr definition - ansvar for >alt< under dig.
Men..
Hvis du kan opretholde din stilling,prestige,løn, etc. med meget mindre ansvar, og dermed meget mindre risiko, så har du her en af mulighederne.

Jura-drengene, nedskriver et dokument som gør et andet firma ansvarlig for hvad der før var din risoko.
Dette dokument (også kaldet kontrakten) bliver nu til et 'afladsbrev' i det øjeblik som cloudleverandøren underskriver kontrakten.

"Dett andet firma"(Cloudleverandøren) sætter så -underforstået - prisen efter at det nu også skal være 'lynafleder' for CxO's (også i medierne) hvis noget går galt.

Hvis du tror det handler om at "sikre forretningen", så tror du fejl.

Det drejer sig (næsten) kun om ikke at få plettet sin 'ansættelsesattest'.

K

Det er forskellen imellem politisk ansvar og risiko (juridisk ansvar).

Hvis du skriver en kontrakt om at et eller andet skal gøres på en bestemt måde af en underleverandør, og de gør noget helt andet, så bliver det ikke ugjort af at i mødes i retten.
Så når en stor mængde personfølsomme og ukrypterede data bliver lækket af en underleverandør, så kan denne i princippet fyres (er det nogensinde sket i praksis?), der skal betales en bøde, eller nogen for måske del i en økonomisk kompensation.
Skaden er stadig sket, og kontraktens ord gjorde ingen forskel.
Er det galt nok, må ham der skrev kontrakten gå af og nyde sit gyldne håndtryk.

Så i sidste ende kan man sige at opgaver og risiko kan udliciteres men ikke ansvaret.

Hvor er Datatilsynet i denne sag? De burde jo om nogen, se at komme med en udtalelse om hvad ændringen betyder.

Især hvis Datatilsynet har fingeren på pulsen (og tager datasikkerhed alvorligt,)