jesper løffler

Er vi på vej mod en "EU-cloud"?

Det er nok ikke gået manges næse forbi, at der er nyt i Schrems II-sagaen i form af nye EU-vejledninger og standardklausuler/SCC’er. I dette indlæg vil jeg fokusere på konsekvensen for leverandører og kunder i cloud-branchen, og benytte anledningen til at rejse et mere generelt spørgsmål, som jeg længe har forsøgt at blive klog på: Kan det lykkedes EU at bruge Schrems II-sagen som katalysator til at indfri deres mangeårige ambition om at gøre sig/os mere uafhængige af US-techgiganterne ved at opbygge en “EU cloud”?

Indlægget er opdelt i følgende afsnit:

  • 6 simple steps til lovlig brug af cloud-løsninger?

  • Er det realistisk, at US-techgiganter kan overkomme EU’s Schrems II-benspænd?

  • EU’s ambitioner om en “EU cloud”

  • Er det realistisk at, EU’s cloud-alternativer kan matche US-giganterne?

  • Nogle forudsigelser

Jeg har fået værdifuld sparring til dette indlæg fra flere personer, herunder min kollega Stefan Stade (compliance-ansvarlig hos Focus Advokater), Dennis Benneballe Grade (compliance-ansvarlig hos OnlineCity), Martin Rud Ehmsen (CTO hos Hesehus A/S) samt Henrik Udsen (professor i IT-ret på KU samt medlem af det danske Dataråd). Ansvaret for indholdet er dog helt mit eget.

6 simple steps til lovlig brug af cloud-løsninger?

Der er efterhånden skrevet rigtig meget om denne sag. Jeg har selv skrevet to tidligere blogindlæg om emnet (her og her), og selvom der nu er kommet nyt fra EU, så har vi stadig ikke alle svarene. Den nye vejledning om "supplerende foranstaltninger" er i høring, foreløbigt indtil 21. december, og herefter vil der går en periode inden den endelige udgave af vejledningen bliver offentliggjort. Det samme gælder ift. de nye SCC'er.

Jeg vil derfor på nuværende tidspunkt gentage opfordringen fra mit sidste indlæg, og så vidt muligt får styr på sine overførsler ud af EU (se også et nyt "Roadmap" offentliggjort af Databeskyttelsesrådet/EDPB:

Step 1 er at sikre sig, at man har styr på alle de scenarier og systemer, hvor EU data "overføres" ud af EU. I praksis gælder dette for stort set alle cloud-løsninger. Til eksempel kan jeg nævne, at Focus Advokater P/S pt. anvender 8 SaaS-løsninger, hvoraf de fleste ligger på et datacenter i EU og over halvdelen leveres af danske SaaS-virksomheder - alligevel er samtlige 8 SaaS-tjenester ramt af Schrems II, herunder som følge af underleverandørers brug af “follow the Sun”-support. Man skulle tro, at det burde være praktisk muligt at benytte fx US-cloud udbydere uden at falde ind i disse krav, men det er overraskende vanskeligt at få klare svar på. Emnet uddybes særskilt nedenfor.

Step 2 er at afklare, hvilket lovligt overførselsgrundlag ("transfer tool") man benytter. Indtil Schrems II-sagen anvendte næsten alle cloud-udbydere hhv. Privacy Shield og EU-Kommissionens standardklausuler (SCC'er) som overførselsgrundlag. Den første blev kendt ugyldig med øjeblikkelig virkning, og SCC'erne er fremover kun lovlige at bruge, hvis man foretager en analyse af tilstrækkeligheden i hvert enkelt konkrete scenarie.

Step 3 er gennemførelsen af denne analyse, og det er her den ene af de nye vejledninger fra EDPB er relevant. Der er tale om en vejledning på 38 sider, der som nævnt først kommer i en endelig udgave engang i det nye år. Jeg vil derfor i denne omgang henvise til Henning Mortensens detaljerede analyse. Den korte opsummering er: Der kræves en analyse af hver enkelt cloud-løsning, de heri indeholdte data, lovgivningen i "modtagerlandet" (fx USA fsva. de fleste cloud-løsninger) osv.

Step 4-6 indebærer, at man på baggrund af den grundige analyse implementerer "supplerende foranstaltninger", hvor dette er påkrævet, og løbende følger op på disse. Eksempler herpå er justering af kontrakten med cloud-leverandøren eller underleverandører. I andre tilfælde kan det være relevant med tekniske foranstaltninger såsom kryptering eller pseudonomisering. Fælles for stort set alle potentielle foranstaltninger er, at man som cloud-kunde er afhængig af sin leverandør for at finde en løsning, jf. nedenfor. Det er dog vigtigt at understrege, at det primære ansvar hviler på os danske cloud-kunder og/eller danske Saas-leverandører, og at vi ikke længere bare kan sidde på hænderne. Resten af indlægget forsøger således at give indblik i, hvor meget hjælp vi kan forvente at få fra Microsoft og co., samt hvorvidt tiden er kommet til at se på EU-alternativer.

Er det realistisk, at US-techgiganter kan overkomme EU’s Schrems II-benspænd?

Mange, inklusive jeg selv, har nok været af den opfattelse, at Microsoft og co. selvfølgelig nok skulle finde en juridisk smutvej udenom om de nye krav i kølvandet på EU-Domstolens afgørelse i juli måned. Jeg må dog erkende, at det bliver sværere for dem end jeg havde regnet med. Vi får først klare svar, når de endelige udgaver foreligger, men her er en kort opsamling på cloud-leverandørenes udfordringer :

Udfordring nr 1: Global cloud vs EU’s landegrænser på internettet

Hele årsagen til polemikken er, at GDPR (ligesom de gamle regler) tillader fri bevægelighed for data indenfor EU, men stiller skærpede krav ved overførsler ud af EU. Det er derfor ikke alle cloud-løsninger, som er ramt af Schrems II: Det er “kun” dem, hvor data juridisk set “overføres” ud af EU, når man bruger tjenesten. “Kun” er i anførselstegn fordi langt de fleste cloud-løsninger gør dette. Hvis man ønsker en mere detaljeret redegørelse herfor, kan jeg henvise til mit tidligere indlæg.

På dette sted vil jeg blot opstille en simplificeret tommelfingerregel: Man er ramt af Schrems II, hvis ”nogen” udenfor EU teknisk og/eller juridisk set har adgang til data om EU-borgere.

Teoretisk set er det vist nok muligt at opsætte en løsning hos de store IaaS-udbydere, hvor de kan garantere, at der ikke sker en overførsel ud af EU. Men indtil nu har været meget lidt åbne herom: I 2019 bragte Comuterworld en historie om, at KOMBIT og Netcompany i 2019 havde omfattende drøftelser med Amazon med henblik på at få bekræftet, at data på skole-platformen Aula ikke forlader EU. Forløbet endte ifølge artiklen med en mundtlig (!?) garanti fra Amazon om, at data ikke vil forlade EU. Og selv efter dette omfattende forløb spurgte journalisten KOMBIT:"Ved I hvor mange services, I afskærer jer fra hos AWS?" og hertil var svaret ""Nej, det gør vi ikke."

Det er muligt, at visse cloud-leverandører vil kunne komme helt udenom "overførsler" ud af EU, fx ved at indføre en mere skarp styring ift. om supporterer har adgang til data, eller kun applikationslaget, men som sagt har der tilsyneladende ikke været meget fokus på dette i branchen indtil nu.

Udfordring nr 2: Schrems II handler i første række om NSA og respekt for grundlæggende retsstatsprincipper

Som også uddybet i mit forrige indlæg om Schrems II, handler sagen om meget mere end "bare" overholdelse af nogle formalia krav i GDPR: I følge EU-Domstolen handler det om grundlæggende menneskerettigheder og beskyttelse mod alt for vidtgående indgreb fra fremmede stater og efterretningstjenester. Det har ikke fået så meget opmærksomhed, men EDPB offentliggjorde faktisk to vejledninger for nyligt: Udover den som alle omtaler vedr. "supplerende foranstaltninger", har de også sendt en vejledning i høring om "European Essential Guarantees for surveillance measures". Der er med andre ord en uddybning af de minimumskrav, som skal opfyldes, for at fremmede efterretningstjenesters overvågning ikke er i strid med EU's grundlæggende rettigheder.

Og inden kommentarsporet løber løbsk med spydige bemærkninger om FE vil jeg sige: Ja, det er absurd, at vi skal bruge så mange ressourcer på at undgå at NSA får fingre i vores data, når FE i årevis har sendt data direkte til dem. MEN, fokuserer vi alene på juraen, så er der altså en mening med galskaben: EU's efterretningstjenester er underlagt nogle "GDPR-lignende" regler, som er særligt møntet på behandling af personoplysninger hos retshåndhævende myndigheder, og EU-Domstolen har flere gange slået ned, når EU-myndigheder er gået for langt. Hvorvidt en sådan sag er på vej ift. FE, vides endnu ikke.

Der er dog håb for, at denne storpolitiske kamp er på vej i den rigtige retning, men disse ting tager tid, så vi er nødt til at finde andre løsninger i mellemtiden.

Udfordring nr 3: Overførsler ud af EU er generelt blevet langt mere besværlige - men mest besværlige ift. US-virksomheder

Schrems II handlede, ligesom Schrems I, specifikt om Facebook og NSA’s overvågning af deres data. Alle vejledninger fra EU er dog generelt formulerede, og derfor gælder de nye skærpede krav for overførsler til alle lande udenfor EU. I de fleste tilfælde kræver det således en kompleks juridisk analyse, hvis man fortsat vil overføre data ud af EU/bruge tjenester der gør dette.

At USA’s regler er uforenelige med EU-retten er der dog ingen tvivl om (jf ovenfor). Dermed kan SCC’erne ikke stå alene (heller ikke de nye), hvorfor der skal “supplerende foranstaltninger” til. Men de fleste foranstaltninger duer ikke: Kryptering er ikke tilstrækkeligt, hvis cloud-leverandøren også har en krypteringsnøgle, og kontrakter binder ikke NSA.

Tirsdag i sidste uge deltog tre repræsentanter fra EDPB i et webinar/paneldebat arrangeret af den internationale privacy-organisation IAPP, og de lagde ikke skjul på, at deres nye vejledning vil gøre det besværligt og tungt, hvis man vil fortsætte med at bruge US-cloud leverandører. De skyndte sig dog at sende skylden videre til EU-Domstolen: De er "caught between a rock and a hard place."

Jeg har derfor pt. ikke fantasi til at forestille mig at Microsoft og co. kan gøre noget, som med et trylleslag løser det hele for alle deres løsninger, så vi kunder ikke behøver at foreholde os til de besværlige krav. Dog vil vi formentlig se flere udbydere tilbyde løsninger, hvor kundens data krypteres lokalt, således at den pågældende cloud-leverandør ikke selv har adgang til krypteringsnøglen, såsom Service Now's "Edge Encryption". og Zoom's nye E2EE-kryptering. I mange tilfælde er kryptering dog ikke en praktisk realistisk mulighed, jf. også de mange gode input i kommentarerne til mit første Schrems II-indlæg.

Til eksempel kan nævnes, at databeskyttelsesrådgiveren for EU's egne institutioner (EDPS) for et par uger siden offentliggjorde en strategi for, hvordan de vil efterleve Schrems II. Herfra kan bl.a. fremhæves, at EU-myndighederne på kort sigt er i gang med at kortlægge alle deres overførsler ud af EU samt udarbejde "Transfer Impact Assesments" i hvert enkelt tilfælde. Og jeg hæfter mig bl.a. ved dette citat: "With regard to new processing operations or new contracts with service providers, the EDPS strongly encourages EUIs to avoid processing activities that involve transfers of personal data to the United States."

EU’s ambitioner om en “EU cloud”

Denne opfordring giver mig anledning til at fremhæve, at EU rent faktisk i mange år har arbejdet på at opbygge en EU-baseret cloud-infrastruktur. Helt tilbage i 2013 blev der i EU-regi udarbejdet et dokument med overskriften "Towards an EU Cloud Computing Strategy".

I 2020 har EU for alvor skruer op for blusset på denne målsætning. EU-Kommissionen skriver bl.a. følgende på deres side om cloud:

“Cloud computing is a key objective to increase Europe's sovereignty as outlined in the European Commission’s Data Strategy, Digital Strategy, Industrial Strategy and the EU recovery plan. Currently, the European Commission works on the establishment of a European Allliance on Industrial Data and Cloud, which will enable the development of several work streams:

  • Joint Investment in cross-border cloud infrastructures and services to build the next generation cloud supply

  • European marketplaces for cloud services, where users will have a single portal to cloud offerings meeting key EU standards and rules.

  • EU Cloud Rulebook for cloud services, which will provide a single European framework of rules, transparency on their compliance and best practices for cloud use in Europe.

Member States have signed on 15 October 2020 a joint declaration on cloud where they express their will to collaborate towards the creation of a European cloud.

Parallelt med disse officielle EU-initiativer, har flere lande iværksat yderligere tiltag med samme sigte for øje. Det mest prominente eksempel herpå er "Gaia X-projektet", der har Tyskland og Frankrig som initiativtagere, men de opfordre andre EU-lande til at tilslutte sig også. Ifølge hjemmesiden er mere end 300 organisationer pt. med i projektet, og tilslutningen stiger løbende. Der findes en foreløbig udgave af en søgeportal her, og en videopræsentation af projektet her.

I øvrigt er det også muligt for US-techgiganterne at gå med i projektet, idet formålet formelt set ikke er at skubbe amerikanerne helt ud: Formålet er at sikre, at brugen af cloud sker i overensstemmelse med EU's værdier og lovkrav. Eksempelvis meddelte både AWS og Microsoft i sidste uge, at de går med i projektet.

Er det realistisk, at EU’s cloud-alternativer kan matche US-giganterne?

Som det er fremgået ovenfor, er det muligt at US-tech giganterne kan finde nogle løsninger, men det bliver ikke let. I mellemtiden er vi nødt til at overveje, hvorvidt vi kan finde EU-alternativer til dem.

Der er ingen tvivl om, at Azure, AWS og GCP har mange års forspring og stordriftsfordele, som ingen EU-leverandører pt. kan matche 100%. Fokus er i dette indlæg på det juridiske perspektiv, og jeg vil derfor nøjes med at dykke ned i et argument, som jeg ofte hører fra cloud-fortalere: Cloud-løsninger er langt mere sikre, bl.a. fordi de store udbyder efterleve alle internationale regler og standarder. Dette synspunkt vil jeg godt udfordre lidt.

Det er således ikke mange danske myndigheder og virksomheder, der har værdi af at Microsoft fx understøtter efterlevelse af +90 regelsæt fra rundt om i verden. I mange tilfælde er det alene afgørende, hvorvidt leverandøren kan levere “nok” sikkerhed efter EU’s lovkrav og standarder. Og lige præcis hvad der er nok cloud-sikkerhed efter EU’s standarder ved vi faktisk ikke pt., men EU’s officielle cybersikkerhedsorgan, ENISA, arbejder på et certificeringsordning med netop dette sigte.

En anden detalje, som ofte bliver overset i diskussionen om cloud-sikkerhed: Selvom de tre store kan bryste sig med hundredevis af certifikater og funktioner med fokus på sikkerhed, så er der jo kun tale om en “bruttoliste”, som ikke nødvendigvis afspejler sikkerhedsniveauet for en konkret løsning sat op på deres servere. Alle de tre store arbejder således med en “shared responsibility”-model, hvor en ikke uvæsentlig del af ansvaret for “nok” sikkerhed ligger hos den kunde eller SaaS-leverandør, der sætter den konkrete løsning op.

Nogle forudsigelser

Som det fremgår er der stadig en del ubekendte, herunder fordi de nye EU-dokumenter fortsat kun ligger i udkast, men jeg vil godt prøve at stikke snuden frem og komme med nogle forudsigelser:

  • Problemerne går ikke væk af sig selv. EU-Domstolen har en gang for alle sat emnet øverst på dagsordenen for både EU-Kommissionen, Databeskyttelsesrådet og en lang række andre organisationer. Og Schrems og hans organisation NOYB kommer til at fortsætte kampen.

  • 2021 bliver året, hvor cloud-udbydere for alvor har incitament til at investere i reel Data Protection by Design - dvs. andet og mere end “privacy-makeup” såsom Privacy Shield og SCC’er som ingen læser. Udover Schrems II-sagen, bliver denne udvikling skubbet frem af at EDPB for nyligt vedtog en ny og meget ambitiøs vejledning om Data Protection by Design, og af at Datatilsynet og Rigsrevisionen det sidste år har slået ned på IT-leverandører og kunders ansvar for at føre kontrol med disse.

  • GDPR-venlige Analytics-tjenester såsom Matomo kommer til at stjæle endnu større markedsandele fra Google Analytics. Det samme gælder andre digitale tjenester, hvor der er reelle EU- og/eller anonymiserede alternativer. Der findes en lang række teknologier, som muliggør udnyttelse af Big Data og AI, uden at ramme ind i GDPR-udfordringer, fx fra udbyderen Anonos. Det er blot først nu, at udbyderne har et kommercielt incitament til at investere i den slags teknologier...

  • Microsoft skal nok lykkedes med at få EU til acceptere deres SaaS-løsninger, ikke mindst O365, som vi ikke har noget reelt alternativ EU-alternativ til. Modsat de brede anvendelsesscenarier for Azure, så bør O365-tjenesterne kunne tweakes rent teknisk/organisatorisk/kontraktuelt, så de lever op til de nye strenge krav. Microsoft har også opbygget en del goodwill, herunder fordi de rent faktisk har brugt et år forud for Schrems II på at være i dialog med EU’s myndigheder ift. præcis de emner som er behandlet overfor. De er også kommet med en pressemeddelelse, hvori de udtrykker vilje til at imødekomme de nye krav (i samme meddelelse nævner de også at de anser en del af løsningen for at være et tilbud om kompensation til personer, hvis oplysninger er blevet ulovligt behandlet - hvilket også må siges at falde i kategorien "privacy-makeup"...)

  • Jeg er pt. usikker på, hvad fremtidsudsigterne er for Azure, AWS og GCP - og dermed også for de mange EU SaaS-løsninger, der bruger dem som underleverandør. Deres forretningsmodeller er pt. indrettet med udgangspunkt i, at de skal kunne bruges til alle mulige og umulige scenarier, hvilket besværliggør implementering af “one size fits all”-løsninger. Mon ikke de kommer til at lave en ren "EU-cloud", som (modsat den nuværende) rent faktisk garanterer, at data aldrig ender udenfor EU. Google annoncerede i sidste uge et nyt samarbejde med OVH, som netop har fokus på europæiske kunder, og AWS og Microsoft er som nævnt gået med i Gaia X-projektet.

Ovenstående er blot mine ydmyge tanker - Jeg håber at nogle af jer vil byde ind, særligt de (mange!) af jer, der ved mere om den tekniske og praktiske side af cloud end jeg gør.

Relateret indhold

Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

Jeg gætter på at AWS/MS m.fl. undersøger en anden selskabskonstruktion, måske noget ala US selskab opretter en fond i EU fonden etablere et selskab, selskabet køber licens til de anvendte teknologier, så det kan etablere en lige så god platform som det USA baserede selskab. Alt drift fortages fra EU, dvs. ingen follow the sun.

Med den rette selskabskonstruktion kan AWS/MS m.fl gøre sig fri af amerikanske love i EU og etablere vandtætte skotter. Løsningen bliver selvfølgelig dyrere for EU borgerne.

  • 5
  • 0
#2 Nicolai Petersen

Uanset hvilken selskabskonstruktion der vælges, så har de amerikanske myndigheder via en FISA dommerkendelse muligheden for at pålægge en amerikansk virksomhed en hvilken som helst ordre. Så uanset selskabskonstruktionen, hvis det i sidste ende er en amerikansk virksomhed der er ejer, så vil jeg ikke stole på at data ikke bliver udleveret på foranledning af en FISA kendelse

  • 8
  • 0
#3 Claus Bobjerg Juul

Så uanset selskabskonstruktionen, hvis det i sidste ende er en amerikansk virksomhed der er ejer,

Mig bekendt, men jeg er ikke jurist med speciale i selskaber eller fonde, så har fonde en særstatus, hvor de ikke kan stille krav til dem de udbetaler penge til, de kan vælge at udbetale eller lade være. Firmaet der modtager penge fra fonden kan løbe med pengene helt lovligt eller bruge dem til at købe licens hos det USA baserede firma. finten er forbundet med en vis risiko, intet er omkostningsfrit.

  • 1
  • 0
#5 Anders Johansen

Jeg gætter på at AWS/MS m.fl. undersøger en anden selskabskonstruktion

Det kan tænkes de anlægger samme strategi som i Tyskland, hvor datacentre ejes og drives af T-Systems under kontrakt med Microsoft. Så leverer Microsoft blot software, de ejer ikke hardware og lagrer ikke data, men modtager licenskroner fra udbyderen. Derved er der legale barrierer mellem entiteterne idet Microsoft ikke ejer T-Systems...

https://azure.microsoft.com/da-dk/blog/microsoft-azure-germany-now-avail...

  • 7
  • 0
#6 Maciej Szeliga
  • 1
  • 0
#7 Jesper Løffler Nielsen Blogger

Hej Anders Johansen. Sidst jeg tjekkede, så det altså ud til at MS efter lanceringen i 2016 udfasede/ændrede samarbejdet med T-systems. I hvert fald kunne jeg ikke finde ét eneste sted, hvor MS udtrykkeligt skriver sort på hvidt, at man ved brug af deres tyske løsning helt undgår overførsler ud af EU. Ved du noget om det?

  • 4
  • 0
#8 Knud Larsen

i uendelig lang tid uden at der kommer noget produktivt ud af det. Når vi så i DK oplever at man ikke en gang kan overholde Grundloven og tilmed slipper . fra det pga et slattent Folketing, at FE og PET ør hvad der passer dem, så virker det hele fuldstændig ligegyldigt og håbløst. Det er ikke problemer man kan skubbe over på den enkelte lille virksomhed. - Selskabskonstruktion i teorien ja måske, i praksis nej. Da UBS ikke ville udlevere data på amerikanere sagde USA, så blokerer vi bare al UBS virksomhed i USA indtil I makker ret! (det gjorde de så). - Det er ret tåbeligt at domstolen fører an i kmapen. Vi har i 50 år haft tradition for den Globale metode med at standarisere og certificere teknik - det må vi så også gøre her og stoppe dete ulidelige juridiske flueknepoeri-

  • 0
  • 5
#9 Torsten Balslev

Det er meget egendommeligt at US baserede firmaer stadig ikke kan finde ud af Cloud-Geolocation - lave løsninger, der kundens placering af cloud data er transparent. Det ville hjælpe med transparens (men selvfølgelig ikke løse det juridiske problem). De har allerede egne interesser og egen standardiseringsorgan under Handelsdepartement (NIST-National Institute of Standards and Technology) som oplyste om problemet allerede i dec 2015. Se den meget detaljeret NIST.IR7904 https://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.7904.pdf

Selvom det ikke løser juridisk NSA's tilgang til data for US-ejet-selvskaber uanset placering, så ville det være naturligt (5 år efter) at have helt tydelig transparens: - hvor data er placeret - hvem har adgang, hvornår (måske ligefrem et advarselssystem når andre udenfor kontrakt og EU std klausuler som f.eks. NSA pludselig får adgang over grænserne). Så kan vi i hvert fald vurdere risikoen og amerikanerne kan måske hindre for mange EU-alternativer, som Jesper nævner.

Som NIST selv skriver i 2015: "Another concern with shared cloud computing is that workloads could move from cloud servers located in one country to servers located in another country. Each country has its own laws for data security, privacy, and other aspects of information technology (IT). Because the requirements of these laws may conflict with an organization’s policies or mandates (e.g., laws, regulations), an organization may decide that it needs to restrict which cloud servers it uses based on their location." NIST.IR7904

Jeg er ikke jurist, men kommenterer fra lidt andet perspektiv. I øvrigt et perspektiv der er lidt tyndt behandlet i Digitaliseringsstyrelsens seneste vejledning med henvisning til databeskyttelseslovens § 3, stk. 9; https://digst.dk/data/vejledning-til-anvendelse-af-cloudservices/

  • 1
  • 0
#10 Michael Fjeldsted

Sidst jeg tjekkede, så det altså ud til at MS efter lanceringen i 2016 udfasede/ændrede samarbejdet med T-systems.

https://docs.microsoft.com/en-us/azure/germany/germany-welcome Det kører stadigt, men de tager ikke nye kunder ind - og Microsoft har siden lavet deres egne datacentre.

Jeg tror at dem der indtil nu ikke har været interesseret i at køre Azure styret af Microsoft gerne vil køre det selv i form af Azure Stack, som bliver et meget godt alternativ til deres cloud. Det er dog uden hele deres 365 portfolio. https://azure.microsoft.com/en-us/overview/azure-stack/

  • 0
  • 0
#13 Jørgen Elgaard Larsen

Det grundlæggende problem er, at alt for mange har kastet personoplysninger ud på diverse cloud-løsninger under en illusion om, at det var sikkert.

Skyen er jo bare en anden mands computer, og der er så grænser for, hvor naiv, man må være.

Det er ikke nok bare at stole på, at den anden mand lover at passe på data. Man må også have en passende sikkerhed for, at han både kan og vil holde sit løfte.

Der er forhåbentligvis ikke været nogen, der for alvor har stolet på, at data var sikre hos USAnske virksomheder?

Der er forhåbentlig ikke nogen der stoler på andre udbydere, bare fordi de bor i EU - eller endda Danmark?

Hvis man vil passe på data, må man opbevare det selv - eller som minimum foretage audits af, hvordan data bliver behandlet af tredjepart. Uanset, hvor vedkommende bor.

  • 4
  • 0
#14 Allan Møller

Så du mener seriøst at den lille cloud leverandør er bedre istand til at passe på dataene end en gigant som AWS, som vel og mærket har et sikkerhedsbudget på milliarder?

Dansk it historie er fyldt med diverse datalæk fra både mindre og større leverandører!

  • 1
  • 3
#15 Nis Schmidt

Dansk it historie er fyldt med diverse datalæk fra både mindre og større leverandører!

Og man behøver ikke kigge langt ud over grænsen for at finde årsagen. Var det ikke DR, som i sin lagde grunden til dyrkelsen af f.eks. Facebook?

Det er per definition bedre at pynte sig med lånte fjer. Siden Holberg;)

Hvis man ville kunne man åbne "danske" cloud-services i morgen - eller om få måneder, men det vil "man" ikke. Der er f.eks. det problem at dele data men folk uden for unionen (EU). Og så er der "Kina" (det nye amerika = sted hvor egoismens lov gælder), hvor vi i mange år har parkeret al "produktion" - i lavtlønslande. Alt skal helst være gratis for os "højtlønnede" danskere. "Staten" betaler.

  • 1
  • 0
#16 Peter Valdemar Mørch

Hvis man vil passe på data, må man opbevare det selv - eller som minimum foretage audits af, hvordan data bliver behandlet af tredjepart. Uanset, hvor vedkommende bor.

Hvis man tager dette argument ud i sin yderste konsekvens, skal man lave al Software og HW selv. Hvilket er en helt uoverkommelig opgave, hvorfor man vælger og bliver nødt til at stole på underleverandører. Man bærer selvfølgelig ansvaret selv, og har pligt til at vælge troværdige partnere, og udskifte dem hvis de viser sig at være uduelige, men man kan ikke gøre alt selv.

Og man har ofte i virkeligheden ingen reel mulighed for at føre audit. Jeg har feks ikke på noget tidspunkt læst Linux kernens source, selvom jeg kan og måske "burde". Jeg stoler på andre og følger (lidt) med hvad andre skriver.

  • 2
  • 0
#17 Nis Schmidt

Hvis man tager dette argument ud i sin yderste konsekvens, skal man lave al Software og HW selv. Hvilket er en helt uoverkommelig opgave, hvorfor man vælger og bliver nødt til at stole på underleverandører.

Der gjorde man faktisk i "gamle" dage, dengang GIER og DASK blev til.

I dag "har vi ikke tid", eller rettere mangler viden. Det er måske heller ikke nødvendigt. Men det ville være godt hvis danske ingeniører havde mere humaniore eller skønlitteratur "i baghovedet" - det ville måske også gavne fagbladet?

Peter Valdemar er f.eks. næppe alene om ikke at have læst kildekoden til Linux (som blev skrevet af en freashman). De der gider lidt mere har måske læst op på BSD.

Hvor mange Linux-brugere har f.eks. bygget deres egen kerne? Jeg gjorde i '96 - og slap derved for meget "overhead" jeg ikke havde brug for - jeg ville bare køre "diglog". Det er i dag Windows 10's problem - fragmentering i så mange individuelle processer, services og drivere - at det halve gerne kunne være nok. Ok, men har man så overkommet, at luge ude i dem? Jeg har ikke - endnu.

Kan vi "nøjes" med, at kode vores "HW" i en FPGA og udvikle en ny GNU-kerne? Sandsynligvis, men vi skal igang - med at tænke på andet og mere end vores egen "gevinst".

  • 1
  • 0
#20 Henrik Sørensen

@Jesper Løffler Nielsen

Tak for et fint og på mange måder sobert indlæg i debatten.

Jeg tror desværre, at EU pt. er igang med at lave et selvmål af dimensioner.

Hvis målet er en reel europæisk cloud industri, så bør man gøre det ved at fremme noget som er bedre, eller minimum lige så godt, som det de store US baserede leverer.

Protektionime bringer sjældent noget godt med sig

Rusland og Kina er allerede gået langt i deres ønsker om at 'beskytte' deres borgere (læs: https://www.berlingske.dk/virksomheder/kina-med-ny-ordre-vaek-med-udenla...)

Tak for kaffe

  • 2
  • 0
#22 Peter Valdemar Mørch

Hvis målet er en reel europæisk cloud industri

Det primære mål er en overholdelse af GDPR så vores privacy beskyttes. Hvis USA ændrede deres love, sådan at data der lå på servere i EU aldrig kunne udleveres til amerikanske myndigheder, heller ikke med en FISA court order eller på nogen anden måde, så er der da ingen som ville have noget imod at data ligger på servere som ejes af Amazon, Microsoft eller Google. Problemet er jo at som loven er p.t. i USA, så hvis data ligger på servere ejet af at USAnsk firma, så skal data på forlangende udleveres til amerikanske myndigheder, uanset hvor i verden serverne måtte befinde sig. Og endda muligvis uden at den der udleverer må notificere nogen om det.

At der så måske også er et sekundært mål om en reel europæisk cloud industri skal jeg lade være usagt. Men det andet er altså også et virkeligt reelt problem. Det primære mål er at få løst dette første problem så vores data opbevares i følge GDPR.

Som jeg forstår det...

  • 2
  • 0
Log ind eller Opret konto for at kommentere