Michael Hansen

Schrems II-aktivist: »Du ville aldrig diskutere, om europæeres data kunne hostes i Nordkorea«

Jeg kan ikke lade være at tænke, at danske myndigheders og virksomheders tøven i forhold til efterlevelsen af Schrems hænger sammen med, at Danmark storpolitisk såvel som økonomisk kunne betragtes som en nation med begrænset suverænitet.

Teknologisk er vores land så lille, at vi må anses for en amerikansk lydstat, der ikke kunne fungere, hvis vores IT-løsninger skulle overholde Schrems og Databeskyttelsesforordningen.

Skal Schrems efterleves, vil danske myndigheder formentligt følge trop efter at andre større lande har sortlistet amerikanske virksomheder i den offentlige sektor, sådan at vi hverken lægger os ud med USA eller med EU.

28. januar 2021 kl. 10:13
Kommuner sylter risikovurderinger og sender blindt børne-data til Microsoft

Risikovurderingen i forhold til GDPR skal omhandle risikoen for, at borgernes data som en konsekvens af overførsel til tredjeland vil nyde en ringere retslig beskyttelse. Der er ikke et krav om, at misbrug skal være overhængende, eller om at sandsynligheden for at tredjelandes myndigheders interesse i at bruge borgernes personoplysninger skal kunne kvantificeres.

Det ville jo i så fald betyde, at ingen overførsler til tredjelande ville være ulovlige, før det kunne påvises, at tredjelands myndigheder havde forsøgt at tilgå personoplysningerne.

En sådan fortolkning af risiko er ret så kreativ og strider direkte imod Datatilsynets og Databeskyttelsesrådets fortolkning af Schrems.

26. januar 2021 kl. 10:03
Kommuner sylter risikovurderinger og sender blindt børne-data til Microsoft

Jeg vil opfordre til, at Version2 klager over afgørelserne til Ankestyrelsen.

Kommuner laver ofte fejl i disses afgørelser om aktindsigt. Interne dokumenter er som udgangspunkt undtaget fra retten til indsigt jf. Offentlighedslovens § 23, men der kan ikke desto mindre være oplysninger, som skal ekstraheres jf. Offentlighedslovens § 28. Der kan desuden være ret til indsigt efter

bekendtgørelse nr. 1575 af 16. december 2013 om aktindsigt i visse interne kommunale og regionale dokumenter.

Man kan også under alle omstændigheder klage til Datatilsynet over, at pågældende kommuner, der nægter at meddele aktindsigt i disses risikovurderinger formentligt ikke overholder Databeskyttelsesforordningen.

Datatilsynet har som tilsynsmyndighed hjemmel til at kræve kommunernes risikovurderinger udleveret som led i dets tilsynsopgaver.

26. januar 2021 kl. 09:44
Efter Version2-afsløring: Datatilsynet indleder sag mod Aarhus Kommune om ulovlige dataoverførsler

Hvis tech support fra et ikke sikkert tredjeland kan tilgå serveren, er det en overførsel i forhold til Databeskyttelsesforordningens Kapitel V.

Hvis myndigheder, i landet hvor moderselskabet har hovedkvarter med landets love kan kræve data udleveret fra et europæisk datacenter, er der tale om en overførsel.

Det er ligemeget, omserveren der synkroniserer elevernes data er placeret i Europa og e ejet af Microsoft Irland, hvis personel fra moderselskabet fysisk kan tilgå oplysningerne på en EU-hostet server.

Det var også gældende ret før Schrems-dommen.

USA havde blot en kattelem, på grund af først safe harbor og senere privacy shield. Da det overførselsgrundlag ikke længere gælder, er der kun corporate binding rules (ikke relevante for offentlige myndigheder), standardkontrakter (yder ikke nogen beskyttelse mod myndigheder) og mulighederne for derogation efter forordningens artikel 49, hvilket dog ikke vil tillade en vedvarende overførsel når den dataansvarlige er en offentlige myndighed.

Virker lidt som om, at kommuner tror, at de kan gøre som de plejer og følge dansk sædvane, hvor love ikke rigtigt tages alvorligt, når de er til for meget besvær for danske myndigheder.

8. januar 2021 kl. 09:36
Organisationer kritiserer nye databeskyttelsesregler: Vil presse livet ud af internationale dataoverførsler

"Et andet tænkt eksempel. En amerikansk virksomhed har en afdeling i Danmark. Data på de danske medarbejdere ligger i HR systemet. Det amerikanske firma har adgang til disse data fra USA. Må de det?"

Cloud Act, det er lige præcis problematikken, og årsagen til, at virksomheder for at være i compliance med Schrems 2 er nødt til at segmentere deres infrastruktur på en sådan måde, at et sådant scenarie ikke er muligt.

31. december 2020 kl. 10:40
Organisationer kritiserer nye databeskyttelsesregler: Vil presse livet ud af internationale dataoverførsler

Det gælder alle tredjelande, hvor der ikke foreligger en tilstrækkelighedsbeslutning, og hvor overførselsredskaber som standardkontrakter er utilstrækkelige. Det siger sig selv, at SCC ikke kan sikre personoplysninger i det tilfælde, at et lands myndigheder kan pålægge moderselskabet at tilgå data hostet på servee i Europa som med Cloud Act, eller tech supportere fysisk bosiddende i i et usikkert tredjeland som Indien. Der er intet nyt i, at fjernadgang fra et usikkert tredjeland også anses for en overførsel, der kræver retsgarantier for borgernes personoplysninger. Det modsatte synspunkt ville effektivt ophæve GDPR, dersom en virksomhed kunne unddrage sig sit ansvar ved at outsource sin infrastruktur på en uoverskuelig måde.

31. december 2020 kl. 10:35
Organisationer kritiserer nye databeskyttelsesregler: Vil presse livet ud af internationale dataoverførsler

Man kan ikke sammenligne situationen dengang med nutidens holdning til beskyttelsen af privatlivet.

Det korte og det lange er, at USAs retsregler er utilstrækkeligt i forhold til at yde beskyttelse af fremmede borgeres personoplysninger over for landets efterretningstjenester f.x efter FISA.

Hverken Fourth Amendment eller FISA beskytter udlændinge bosiddende uden for USAs territorium.

31. december 2020 kl. 10:25