Torsten Balslev

Er vi på vej mod en "EU-cloud"?

Det er meget egendommeligt at US baserede firmaer stadig ikke kan finde ud af Cloud-Geolocation - lave løsninger, der kundens placering af cloud data er transparent. Det ville hjælpe med transparens (men selvfølgelig ikke løse det juridiske problem). De har allerede egne interesser og egen standardiseringsorgan under Handelsdepartement (NIST-National Institute of Standards and Technology) som oplyste om problemet allerede i dec 2015. Se den meget detaljeret NIST.IR7904 https://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.7904.pdf

Selvom det ikke løser juridisk NSA's tilgang til data for US-ejet-selvskaber uanset placering, så ville det være naturligt (5 år efter) at have helt tydelig transparens:

  • hvor data er placeret
  • hvem har adgang, hvornår (måske ligefrem et advarselssystem når andre udenfor kontrakt og EU std klausuler som f.eks. NSA pludselig får adgang over grænserne). Så kan vi i hvert fald vurdere risikoen og amerikanerne kan måske hindre for mange EU-alternativer, som Jesper nævner.

Som NIST selv skriver i 2015: "Another concern with shared cloud computing is that workloads could move from cloud servers located in one country to servers located in another country. Each country has its own laws for data security, privacy, and other aspects of information technology (IT). Because the requirements of these laws may conflict with an organization’s policies or mandates (e.g., laws, regulations), an organization may decide that it needs to restrict which cloud servers it uses based on their location." NIST.IR7904

Jeg er ikke jurist, men kommenterer fra lidt andet perspektiv. I øvrigt et perspektiv der er lidt tyndt behandlet i Digitaliseringsstyrelsens seneste vejledning med henvisning til databeskyttelseslovens § 3, stk. 9; https://digst.dk/data/vejledning-til-anvendelse-af-cloudservices/

26. november 2020 kl. 15:40