malik taaning

KL jubler over ny data-aftale: »Det er en kæmpe, kæmpe lettelse«

"Vi har nu i 2 år brudt loven i håb om tilgivelse - med glæde kan vi nu konstatere at vores ageren bliver lovlig inden for de næste par år. Derved kan vi forhåbentligt ignorere de sidste års lovbrud"

Sørgeligt.

4. april kl. 12:47
Efter Schrems II-kaos: Datatilsynet er endelig klar med ny cloud-vejledning

Enig, det er en interessant udvikling.

Som indlægget også siger, så er der lang vej endnu før det er en effektiv beskyttelse mod aflytning

"Det ændrer ikke på, om Google kan tilgå dine data: De vil altid uden dit vidende kunne lave et snapshot af hele din virtuelle maskine – inkl CPU og dermed have adgang til alle dine data, og give dem videre til hvem de nu har en aftale med."

10. marts kl. 22:09
Efter Schrems II-kaos: Datatilsynet er endelig klar med ny cloud-vejledning

Hvis du ønsker at processere dine data i cloud er det ikke helt nok (at give krypteringsnøglen til en svensk tredjepart). Data skal også være krypteret 'in motion' jvf eksempel 6.

Så cloud brug i forbindelse med personfølsomme oplysninger er reelt reduceret til storage only.

10. marts kl. 11:14
Dansk bil-firma skal nu primært beskæftige udviklere: »Det er en gevaldig transformation«

"Devops og SRE er mere en supportfunktion og ikke en del af den direkte udvikling af vores ydelser"

Det var da en 'interessant' vinkel på DevOps konceptet. Der netop går ud på at Dev og ops skal være tæt forbundne og samarbejde igennem alle forløb.

Men spændende at se om de lykkedes med at hjemtage produktet og opbygge en kultur der evner at drive det videre

18. februar kl. 17:34
Offentlige midler, offentlig kode!

Håndteringen af henvendelser vil kræve ressourcer - det vil du vel ikke betvivle? Jeg skriver jo udtrykkeligt, at jeg ikke kan vurdere, om fordelene berettiger det. Omkostningerne skal bare ikke overses.

Du skriver også udtrykkeligt at "Det kan ikke undgå at fordyre projekterne".

Her vil jeg blot påtale at din påstand lader til at være ubegrundet og subjektiv.

Du vælger i hvert fald ikke, at præsentere data eller argumenter der underbygger din påstand.

Der kan sagtens opstilles scenarier hvor det at håndtere henvendelser vil have en netto gevinst for projekterne - og derved gøre dem billigere. Eksempelvis patches afleveret af subject matter experts, eller tidlig påtale af bugs.

16. maj 2021 kl. 01:45
Offentlige midler, offentlig kode!

Det kan ikke undgå at fordyre projekterne

Det er da i hvert fald en antagelse, er det noget du kan dokumentere/underbygge?

Det kunne jo være at borgerbidrag gjorde projekterne billigere, at fejlmeldinger blev bedre kvalificerede og dermed billigere at rette.

15. maj 2021 kl. 18:00
Microsoft bøjer sig for Schrems II: Data kan blive i EU

Mig bekendt er det ikke mod GDPR at videregive data til offentlige myndigheder såfremt de har en dommerkendelse?

Den korte version, i mange tilfælde jo.

Den længere, læs op på SchremsII dommen. De personfølsomme data du overdrager til en databehandler skal have samme beskyttelse i et eventuelt tredjeland som de har i et EU land pr GDPR.

7. maj 2021 kl. 09:36
Microsoft bøjer sig for Schrems II: Data kan blive i EU

Pr en tidligere tråd her på V2, så tyder meget på at aula ikke kun bruger aws til storage. Og hvis aws bruges til processering af data, ja så er det tvivlsomt at GDPR er overholdt.

6. maj 2021 kl. 22:48
Microsoft bøjer sig for Schrems II: Data kan blive i EU

Selvom det her er et rigtig stærkt tiltag, så kan MS stadig ikke komme i nærheden af at overholde GDPR sålænge de vil overholde USA lov - og det ved de selvfølgelig godt.

De skriver det tilmed i deres eget materiale om EU Data Boundary

https://techcommunity.microsoft.com/t5/security-compliance-identity/eu-data-boundary-for-the-microsoft-cloud-frequently-asked/ba-p/2329098

How will the US and other government requests be treated under the new EU Data Boundary?</p>
<p>A: Through clearly defined and well-established response policies and processes, strong contractual commitments, and if need be, the courts, Microsoft defends your data. ... . If compelled to disclose or give access to any customer’s data, <strong>Microsoft will promptly notify the customer and provide a copy of the demand unless legally prohibited from doing so</strong>. We will challenge every government request for an EU public sector or commercial customer’s personal data—<strong>from any government—where there is a lawful basis for doing so.</strong>

6. maj 2021 kl. 16:01
Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula

Og løsningen er, at smide landet 20 år tilbage uden reelle alternativer - sure!

Overdrivelse og stråmand - intet af det du siger her er sandt. Case in point - AWS er 15 år og azure er 12 år.

Hvis man ville det her på et europæisk plan er der ikke tale om 20 år. Givet at man fra politisk side vælger at opretholde GDPR og vi derved ikke kan bruge US cloud til personfølsomme data - så er der pludselig en meget stor motivation for at etablere alternativer. Både for private virksomheder og på nationalt plan.

Igen, branchen har haft mulighed for at gøre det i eget tempo - det virkede ikke.

4. maj 2021 kl. 11:09
Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula

Dermed ikke sagt, at GDPR ikke skal overholdes, men jeg forstår simpelthen ikke hykleriet i diskussionen.

"hykleriet" som du så sødt kalder det, er for mit vedkommende en konsekvens af at denne her situation har været synlig for alle.

The patriot act er 20 år gammel, GDPR har haft 3 års fødselsdag.

Så, at stå i dag og sige at det har konsekvenser hvis ikke man må bruge amerikanske cloud leverandører - er udelukkende et tegn på manglende rettidig omhu.

Den kollektive pissen i bukserne er blevet påtalt - tiden er inde til mere fornuftige løsninger der ikke sælger ud af vores basale rettigheder.

3. maj 2021 kl. 16:27
Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula

Et helt andet problem er jo, hvis Netcompany har sat deres AWS løsning op til replikering / failover / whatever til en andet kontinent, så det "ikke" kun er et spørgsmål om at AWS medarbejdere kan tilgå data ifm. med support, eller myndighederne i USA eller andre tredjelande kan kræve data udleveret uden Kombit eller Netcompany får det at vide, men pludselig gemmes data faktisk også lokalt i AWS datacentre uden for EU.....

Tæt på, men det går videre end det. The patriot act (med hvilken amerikanske virksomheder kan tvinges til at udlevere data) er ikke geografisk begrænset.

Det er altså underordnet om Netcompany (eller andre) har opsat replikering. Det at data (følsomme personoplysninger) findes i et datacenter der er under kontrol af en amerikansk virksomhed (der er underlagt the patriot act) er nok til at GDPR formentligt ikke kan overholdes. Hvilket er præcis det SchremsII går ud på - at facebook ikke kan garantere at GDPR overholdes for data i deres irske datacenter.

29. april 2021 kl. 09:40
Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula

Jeg må sige at jeg mangler et svar på hvor de terminere forbindelserne. Hvis det sker i AWS har de altså et problem. lovgivningen forholde sig ikke til hvor data ligge i plaintext (midlertidligt i RAM osv), men "om" det bliver behandlet i plaintext

Her vil jeg påstå at det er din tolkning, min er en anden. I EDPS foreløbige 'recommendations' står der at ikke må være i plaintext når de bliver processeret.

Jeg ville mene at processering også gælder læsning/skrivning i RAM. For mig er processering ALLE steder hvor man arbejder med eller på data.

28. april 2021 kl. 13:03
Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula

Min pointe er, at hvis du som cloud udbyder opdeler dine data og netværk efter dine kunders geografi – så kan man ikke fra USA tilgå europæiske data.

Du laver nogle antagelser her som ikke nødvendigvis er korrekte.

At et datacenter står i EU er ikke garanti for at moderselskabet ikke kan tilgå data. Hvis det er amerikansk ejet, så er moderselskabet stadig forpligtet at fremskaffe data upåagtet deres geografiske placering - tak til Patriot act.

Så er spørgsmålet, hvordan vil MS/Amazon garantere at deres ansatte IKKE kan flytte data fra EU datacenter til USA?

Det har jeg svært ved at se løst.

28. april 2021 kl. 13:00
Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula

Hvor ser du at man ikke må opbevare krypteret data i udlandet? Som jeg har læst diverse dokumenter i sagen, så må man gerne opbevare data der er krypteret - så længe krypteringen står mål med de ressourcer som "host landet" har til at bryde kryptering.

28. april 2021 kl. 09:30
Dumpede Microsoft efter EU-dom: Derfor blåstempler Kombit AWS og Aula

Som jeg læser EDPS guidelines (draft) samt SchremsII så skal personfølsomme data være krypteret 'in transport/ at rest in use' så at de krypterer data når det gemmes (og forventeligt transporteres) i AWS er et meget lille plaster på et stort sår.

Hvis data er ukrypteret under processering kan jeg ikke se hvordan det er lovligt at bruge AWS.

Men hey, når de snor sig sådan for at lade som om at MS/Amazon 'nok skal sige til i god tid hvis de skal udlevere data' så er vi ved at være ovre i territoriet for åbenlys løgn.

Ingen ved hvor meget data der er forespurgt/udleveret gennem FISA...

28. april 2021 kl. 07:59
Vigtig Schrems II-afgørelse i Frankrig: Blåstempler omstridt AWS-garanti

Jeg vil tillade mig at antage at det er "at rest" der er krypteret. Hvis det er tilfældet mener jeg ikke at det er tilstrækkeligt jvf EDBP

Use Case 6: Transfer to cloud services providers or other processors which require access to data in the clear</p>
<ol start="89">
<li>In the given scenarios, where unencrypted personal data is technically necessary for the provision of the service by the processor, transport encryption and data-at-rest encryption even taken together,
do not constitute a supplementary measure that ensures an essentially equivalent level of protection if the data importer is in possession of the cryptographic keys.

https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf

Men det kan være jeg læser det forkert :thinking face:

7. april 2021 kl. 10:05
Tysk datatilsyn dumper brugen af Mailchimp: Virksomhed manglede risikovurdering

Undskyld, men har du lagt enhver pligt til at tænke selv hos staten. Mor Mette og Mor Margrete beskytter os mod alt ondt.

Hvor er det dog et usagligt og fordummende indslag...

Samme argument kunne føres for at du skal beskytte dig selv mod overfald eller indbrud. Det er vel ikke staten/politiet der skal tænke for dig er det?

Jeg har forholdt mig til at jeg lever i en retstat - det ville klæde dig at gøre det samme.

7. april 2021 kl. 09:35
Tysk datatilsyn dumper brugen af Mailchimp: Virksomhed manglede risikovurdering

Typisk vil modtageren selv være klar over dette og sikre sig. F.eks. ved ikke at bruge en amerikansk mailserver.

Det er da fuldstændig underordnet hvilken mailserver jeg bruger som modtager hvis afsender (e.g via mailchimp) har information om hvilke nyhedsbreve jeg har modtaget.

Nu er det ud fra artiklen svært at afgøre hvilken type nyhedsbreve der refereres til, men hvis der er tale om et firma som sender nyheder om dem selv og deres produkter (til de kunder som har "opted in" på dette), så har jeg svært ved at anlægge en anden risiko vurdering end at det må være ok også med Mailchimp...

Heldigvis har EU med GDPR gjort det til databehandlerens problem at sikre at mine præferencer og politiske holdninger (samt mine foretrukne værktøjsmærker) ikke bliver udleveret til andre end dem jeg har givet lov til.

Det er altså ikke mig som bruger der skal holde øje med hvilken service firma X bruger til nyhedsbreve og om de skifter dagen efter jeg har meldt mig til.

Alt det indebærer at data IKKE må sendes til USA da de har vist sig ude af stand til at holde snitterne fra personlige data. (læs: giver minimum samme databeskyttelse som i EU)

6. april 2021 kl. 23:42
Tysk datatilsyn dumper brugen af Mailchimp: Virksomhed manglede risikovurdering

Tror du skal se det i et større perspektiv, hvilket nyhedsbrev du følger er IKKE ligegyldigt.

Hvad du abonnerer på kan være ulovligt i andre lande, og kan i den grad være personligt.

DERFOR skal det ikke til USA (eller andre 3d verdenslande)

6. april 2021 kl. 18:27