Jesper Løffler Nielsen

GDPR vs moderne hjemmesider: Holdninger, jura og gråzoner

hej @Anne-Marie. Det er helt fair, at du er kritisk. Jeg vil blot sige, at netop fordi der er så stærke følelelser på spil her på begge sider (du bruger fx en analogi, hvor du sidestiller det at indsamle data vis hjemmesider med at voldtage nogen), så bliver folk nok ikke lige foreløbigt enige om, hvordan tingene BØR være, men det gør det efter min opfattelse endnu vigtigere at være helt skarpe på, hvordan retsstillingen rent faktisk ER. Jeg håber at du vil blive ved med at læse med og byde ind :)

26. marts kl. 10:28
GDPR vs moderne hjemmesider

Hej Anne-Marie. Jeg skal nok uddybe min kritik af GDPR’s vidtgående rækkevidde i et senere indlæg. Men i mellemtiden vil jeg altså opfordre dig til at bruge andre praktiske eksempler end Facebook - verdens mest data-indsamlende og snagende platform er ikke et særligt illustrativt eksempel for en almindelig dansk hjemmeside ?

8. marts kl. 10:04
GDPR vs moderne hjemmesider

Hej igen igen. Også her rammer du plet ift de diskussioner jeg gerne vil have: Vi har tre afgørelser fra EU-Domstolen, som omhandler, hvorvidt/hvornår behandling af IP-addresser skal anses for at udgøre “personoplysninger”, og her fokuseres der på risikoen/sandsynligheden for at det rent faktisk er realistisk at nogen, fx via en retskendelse, kan koble ip-adressen til en navngivet person. MEN! Ved siden af dette har vi så ganske rigtigt nogle argumenter om, at “snagen” i form af fx målrettede annoncer ved hjælp af cookies sig selv nogle gange indenfor GDPR - også selvom vi ikke kender, og aldrig kan komme til at kende, navnet på personen bag. Jeg er i ikke nødvendigvis uenig i sidstnævnte, men min oplevelse er bare, at tingene i praksis bliver mudret sammen, og jeg vil derfor i et kommende indlæg prøve at “skille skæg fra snot” ?

8. marts kl. 08:05
GDPR vs moderne hjemmesider

Og det er jeg også meget enig i: Både at vi generelt savner diskussioner der bliver konkrete nok (hvilket er formålet med disse indlæg), og i høj grad også at have en åben diskussion om, hvorvidt cookies og tracking generelt rent faktisk gør en positiv forskel i praksis. Jeg satser nemlig også stærkt på selv at blive klogere undervejs i processen.

8. marts kl. 07:27
GDPR vs moderne hjemmesider

Hej Anne-Marie. Mange tak for input og spørgsmål - det var lige præcis det jeg efterlyste, og jeg håber også at folk der ved mere end mig om teknikken vil byde ind med svar. Ps. Jeg kan godt se, at ovenstående indlæg måske ikke indikerer at jeg generelt er tilhænger af GDPR - men det er jeg altså ? Men meget lidt her i verden er sort/hvidt, og det er GDPR heller ikke. Jeg bruger 90% af min tid på at rådgive om GDPR i scenarier, hvor jeg synes at reglerne gør en positiv forskel. Men jeg synes at nogle af disse hjemmeside-relaterede sager bevæger sig for langt væk fra reglernes formål, og i visse tilfælde også bliver et geopolitisk/protektionistisk værktøj.

8. marts kl. 07:07
Stor Schrems II-guide: Status og svar på de 17 vigtigste spørgsmål

Rettelse: GCP, Azure og AWS er vel retteligt IaaS-løsninger? Hvilket blot understreger min pointe om udfordringerne med teknisk forståelse…

26. november 2021 kl. 09:24
Stor Schrems II-guide: Status og svar på de 17 vigtigste spørgsmål

Hej Peter. Du har helt ret: Det er svært at få jurister som mig og dem der i Datatilsynet til at svære klokkeklart ja eller nej til dit eksempel. Noget af det skyldes formentlig manglende mod, bl.a. fordi vi kæmper en kamp for at forstå alle de tekniske begreber og forudsætninger det kræver for at kunne svare klart (se spm 2 ovenfor). Og så er en del af forklaringen utvivlsomt også, at juraen ikke er sort/hvid. Det er den generelt ikke, og det er den særligt ikke i denne sag. Særligt den “juridiske kattelem” (spm 13) er smækfyldt med gråzoner og konkrete vurderinger. Og de vurderinger kan ikke foretages på PaaS-niveau (som din tabel prøver at gøre), men handler om den konkrete usecase for den enkelte dataansvarlige kunde. Fx Sundhedsplatformen eller Aula.

26. november 2021 kl. 09:09
Stor Schrems II-guide: Status og svar på de 17 vigtigste spørgsmål

Hej Peter. Jeg tror jeg vil nøjes med at svare:

Ja, formelt set skal gud og hver mand læse “79 PDF filer på 27 sider hver, som jeg som ikke-jurist har præcis 0% chance for at hive et binært ja/nej svar ud af.” Hvilket er fjollet. Men den her sag er også meget usædvanlig, og jeg er ret overbevist om, at det danske Datatilsyn i deres håndhævelse har forståelse for, at forskellige organisationer har forskellige forudsætninger. Så, hvis dit fiktive eksempel fx handler om en virksomhed med 20 ansatte, så tror jeg at tilsynet vil være meget large ift hvad de forventer af den kunde, som bruger CRM-systemet. Forestiller man sig i stedet at der var tale om Folketingets mødebooking-system, som er sat op med præcis samme Azure/ Ubuntu setup, så bliver baren nok sat lidt højere.

Og ja, det kan i visse tilfælde godt lade sig gøre at bruge US-baserede løsninger lovligt. Se fx svar på spm. 7, 8, 9 og 13.

25. november 2021 kl. 15:03
Jurister og IT-folk: Et lykkeligt (tvangs)ægteskab?

Jeg er fuldstændig enig! Jeg har over årene ført en række sager ved domstolene i sager, hvor It var omdrejningspunktet, og jeg har præcis samme opfattelse som dig. De nuværende mekanismer såsom skønsmand, “sagkyndige dommere” og Sø og Handelsretten er uegnede til at håndtere sager, hvor kompleks teknolgi er afgørende for sagens udfald. I UK har de fx oprettet særlige domstole til formålet, og DK burde gøre det samme.

15. juni 2021 kl. 17:00
Jurister og IT-folk: Et lykkeligt (tvangs)ægteskab?

Hej Anders. Jeg er meget enig med dig, både i at vi nok ofte lever i forskellige bobler, men også i din pointe om at det langt fra er alle IT-folk, der ignorerer jura og privatlivsbeskyttelse. Jeg kan godt se, at mit indlæg er sat for skarpt op i denne henseende, og jeg er helt enig i, at det i mange tilfælde er nogle DJØF’ere eller andre ikke It-kyndige, som er mest teknologi-lalleglade og som trækker ambitioner om stigende digitalisering og udnyttelse af de nyeste teknologier ned over de IT-folk, som skal få det til at ske i praksis. Men, spørgsmålet er stadig, om IT-cheferne, CTO’erbe, udviklerne mv set over en bred kam har den nødvendige indsigt i de juridiske rammer for det arbejde de udfører?

14. juni 2021 kl. 09:15
Mod mere regulering af tech: 1) Techlash?

Hej PHK. Jeg er fuldstændig enig med dig, og det er lige præcis vinklen på mit næste indlæg :) I øvrigt er det overordnede budskab og de faser for regulering af ny teknologi også et gennemgående tema i Brad Smiths bog nævnt ovenfor, og så er jeg også ret begejstret for Benedict Evans tilgang til emnet:

https://www.ben-evans.com/benedictevans/2020/7/23/regulating-technology

26. januar 2021 kl. 10:44
Er vi på vej mod en "EU-cloud"?

Hej Anders Johansen. Sidst jeg tjekkede, så det altså ud til at MS efter lanceringen i 2016 udfasede/ændrede samarbejdet med T-systems. I hvert fald kunne jeg ikke finde ét eneste sted, hvor MS udtrykkeligt skriver sort på hvidt, at man ved brug af deres tyske løsning helt undgår overførsler ud af EU. Ved du noget om det?

26. november 2020 kl. 14:18
Kære justitsminister: Hvordan skal vi fastholde vores digitale førerposition med et udsultet Datatilsyn?

Jeg har netop fået et indspark, som jeg synes yderligere understreger mine pointer ovenfor: Datatilsynets nuværende budget (som jo altså står til at blive skåret) er 43,3 mio. kr. i 2020, hvilket er meget lavt sammenlignet med andre tilsyn i Danmark, såsom Arbejdstilsynet (532,8 mio. kr.) og Finanstilsynet (418,6 mio. kr.). Link

I øvrigt har Sveriges datatilsyn netop fået beviliget 30 mio SEK oveni deres nuværende niveau...

28. oktober 2020 kl. 14:57
Danmarks nationale datastrategi

Hej Erik. Spændende indlæg, og jeg er enig i det grundlæggende budskab. Dog vil jeg pointere, at vores nationale strategi for kunstig intelligens jo har et helt afsnit (afsnit II), som indeholder en strategi for data, og som også oplister de øvrige inititativer der er taget på dette område.

Dernæst har vi jo tidligere på året fået en data strategi, blot på EU plan. Den er ambitiøs, og den behandler faktisk mange af de temaer du rejser.

Du kan dog godt have ret i, at der fortsat er plads til en mere udførlig strategi fra dansk side.

4. september 2020 kl. 12:21
GDPR: EUs gave til big tech og et kvælertag på al europæisk innovation

Hej Anders. Jeg er en af de GDPR-advokater, du nævner, som tjener penge på GDPR, og jeg er enig i de fleste af dine pointer: Reglerne er meget brede, det er meget svært at få klare svar og start ups er uforholdsmæssigt hårdt ramt. Jeg vil dog lige for en god ordens skyld gentage et budskab fra et tidligere indlæg om, at GDPR ikke generelt hæmmer innovationen, forudsat at man har ressourcerne til at gøre tingene ordentligt og langsigtet. Men det har start ups jo sjældent. Og den største svaghed ved GDPR er derfor måske nok, at der ingen udtrykkelige bagatelgrænser er (modsat fx Californiens CCPA), og derfor ligger den eneste proportionalitet i “den konkrete vurdering”, som du selv nævner. Jeg har af samme årsag advokeret for, at nogen burde tage initiativ til at lave et adfærdskodeks målrettet Tech start ups, og evt få det godkendt af Datatilsynet. Det vil ikke give en garanti for overholdelse i ethvert scenarie, men det vil give et langt mere overskueligt og trygt fundament at tage udgangspunkt i. Så, nogen burde tage initiativet til at udarbejde et sådant kodeks, of det kunne jo fx være den netop stiftede forening for Tech start ups.

19. august 2020 kl. 20:53
Schrems II i et IT-retligt perspektiv: Når jurister forsøger at sætte landegrænser på internettet

Dejligt med så mange holdninger og input. Jeg tillader mig lige at vende tilbage til spørgsmålet om kryptering, og har bl.a. noteret mig:

Troels Just: "Med andre ord vil man kunne bruge f.eks. amerikanske lagrings-tjenester, men ikke amerikanske "computation"-tjenester. Man vil derfor skulle anlægge en del af sin applikations infrastruktur her i EU... Med "Computation" mener jeg både IaaS som Azure og AWS, men også SaaS som de tjenester du nævner, fordi samme udfordting er gældende med begge kategorier. Hvis man kunne bruge Microsofts online Word til at kryptere et dokument er det Microsofts servere der krypterer dokumentet, og dermed har Microsofts servere nødvendigivs krypteringsnøglen med mindre at det foregik i browseren, hvilket man ikke rigtigt kan dokumentere da programmet jo ikke er open source. Ligeledes med AWS, hvis man kører sin applikation på Amazons servere, og foretager krypteringen via dem, så er krypteringsnøglen allerede hos Amazon."

Peter Valdemar Mørch : "...Og det vil så kun være lagring der kan benyttes, så længe data krypteres ved den europæiske kilde. Hvis der benyttes computation vil data være tilgængelig for NSA i dekrypteret form hviklet er uacceptabelt."

Bjarne Nielsen: "...Medmindre at man krypterer alt inden det forlader området (og så er det godt nok ikke meget ved "skyen"), så kan jeg umiddelbart kun komme i tanke om flg. muligheder: AMDs Secure Encrypted Virtualization IBMs arbejde med Fully Homomorphic Encryption"

Nicolaj Rossing: "...Men som Kuan (GDPR specialisten) rigtigt anfører så fører de tekniske løsninger ofte til en række nye problemer vi skal tage stilling til. Hvem har og skal have adgang til nøglen? Er nøglen lang nok? Hvad hvis vi har brug for at gemme data i lang tid, kan man så regne med at selve krypteringsalgoritmen er god nok? DES blev brugt indtil AES var frigivet (med Tripple DES som mellemløsning). Data krypteret med DES anses idag ikke for tilstrækkeligt sikre. Tilsvarende er udviklingen af kvantecomputere i fuld gang og snart vil de krypteringsalgoritmer der typisk anvendes til nøgleudveksling måske kunne brydes på et splitsekund...."

Og så har jeg fået en mail fra Jonas Ritz, der gjorde mig opmærsom på, at Google få dage før Schrems II-afgørelsen satte Google Cloud Confidential Computing i Beta:

https://cloud.google.com/blog/products/identity-security/introducing-google-cloud-confidential-computing-with-confidential-vms

Det skal siges, at Jonas også fremhæver de begrænsninger, der er forbundet med brug af kryptering, herunder udbyderens adgang til data, selv på en krypteret VM.

Så, hvad der dommen, er kryptering helt umuligt, eller vil der ikke være situationer, hvor det kunne være løsningen?

5. august 2020 kl. 10:41
Schrems II i et IT-retligt perspektiv: Når jurister forsøger at sætte landegrænser på internettet

Hej Troels. Tak for i input. Bare lige så jeg er med: Er “lagrings-tjenester” det jeg vil kalde en IaaS-løsning, såsom Azure og AWS, og "computation"-tjenester” det jeg vil kalde SaaS, såsom O365, Mailchimp, Trello mv?

4. august 2020 kl. 09:21
Schrems II i et IT-retligt perspektiv: Når jurister forsøger at sætte landegrænser på internettet

Her er omtalen af Microsoft-sagen, som var en væsentlig årsag til at USA vedtog CLOUD Act:

https://en.m.wikipedia.org/wiki/Microsoft_Corp._v._United_States

4. august 2020 kl. 08:26
Schrems II i et IT-retligt perspektiv: Når jurister forsøger at sætte landegrænser på internettet

@ Peter - dit spørgsmål rammer lige ned i sagens kerne: 1) Cloud Act, som er en udløber af den Microsoft-sag jeg linker til ovenfor, er et eksempel på, at det endnu ikke er opnået enighed i det internationale samfund ift hvor grænsen for en stats magtudøvelse går på internettet, 2) jeg er også enig i at Cloud Act er vanskelig at forene med GDPR, men en løsning skal jo findes, 3) pt er det svært at sige noget endeligt om løsninger, men det mest realistiske bud er en politisk aftale mellem EU og USA, og den må jo nødvendigvis også adressere Cloud Act, og 4) i mellemtiden rejser jeg spørgsmålet om vi som danske dataansvarlige evt kan kryptere vores data på US-virksomhedernes servere, og derved afskære USA’d myndigheder fra at tilgå indholdet?

4. august 2020 kl. 08:18
Kære IT-folk: I har/er nøglen til verdens mest værdifulde ressource

Hej Claus. Du har givetvis ret i, at for at kunne få det fulde ud af data i stor skala, så har man brug for data scientists. Men i min artikel, og for den sags skyld også i DK's og EU's strategier, bruges begrebet "data-udnyttelse" i meget bred forstand. Så fx. kan det være, at man for at få et så smidigt dataflow som muligt har brug for cloud-kompetencer, at produktionsvirksomheden i første række har brug for IoT kompetencer for overhovedet at skabe dataene, at programmører skal udvikle algoritmerne bag osv. Så når EU siger, at vi pt. mangler "1 million digital specialists", så tror jeg de mener IT-folk i bred forstand, i eller i hvert folk med digitale kompetencer.

29. juni 2020 kl. 09:41