Johnny Lüchau

Trods løfter om ny data-aftale: Københavns Kommune tør ikke rykke på kæmpe cloud-projekt

Positivt at KK afventer, men det havde set bedre ud hvis de havde indset det uundgåelige, nemlig at der ikke kan laves en gyldig aftale. Det er spild af borgernes penge at bruge tid på det.

Har de en Plan B parat?

Og så tlslutter jeg mig dem som ikke tror på at der er penge at spare ved at rykke ud i Microsofts sky. Lad os se den business case!

7. juni kl. 13:17
Briefing: Mens alle flytter i skyen… Derfor investeres der stadig massivt i danske datacentre

Ja, det lød ellers lovende. (Og hvorfor viser man et foto fra et ikke-dansk datacenter?)

Vi venter i spænding...

20. maj kl. 11:47
LEDER: Vi kan ikke have en Microsoft-chef i spidsen for Danmarks digitalisering

Det var en rigtig god leder og tak for at bringe problemet frem i lyset.

Der er på alle måder en absurd situation, men understreger måske meget godt, hvor lidt herrer (m/k) vi er i eget hus.

Vi taler alt for lidt om digital suverænitet, men det kunne tyde på at vores politikere foretrækker det på den måde.

Desværre tror jeg at bedste vi kan håbe på, er at Bule erstattes af en fyr som Henning Mortensen fra "Rådet", og så er vi lige vidt.

12. maj kl. 12:14
Cyberkrigen i Rusland: Begge sider saboterer hinanden med digitale håndgranater

Der en del mærkelige kommentarer og konklusioner som jeg undrer mig over i denne artikel. Hvor kommer f.eks. det her fra:

Mens russerne forsøgte at omringe Ukraines hovedstad Kyiv og myrde landets præsident...

Selvom han kun havde 30% folkelig opbakning før 24. februar, så ville det da være ekstremt dumt at myrde og dermed gøre fyren til martyr. Hvorfra kommer den mærkelige påstand?

(.. og hvad har det med cyberkrigen at gøre?)

2. maj kl. 12:41
61 kommuner slår sig sammen om GDPR: »Kæmpe ressourcebesparelse«

Ja, det kunne være spændende at høre om DBS vil følge KLs katastrofale anbefalinger eller om man vil benytte lejligheden til at opføre sig etisk og ordentligt!

Den enorme regning som KL har påført kommunerne skal jo altså betales på et tidspunkt og om det skal være nu eller efter SchremsIII, kan vel være det samme. Tænker jeg. :-)

8. april kl. 13:45
KL jubler over ny data-aftale: »Det er en kæmpe, kæmpe lettelse«

Det er ikke et "Schrems II problem" og det har det aldrig været. Problemet er at den amerikanske regering og de amerikanske tech-firmaer, er flintrende ligeglade med EU-borgernes grundlæggende rettigheder. En mere passende betegnelse ville være at kalde det "USA-problemet".

Forøvrigt findes der masser af etiske og lovlige alternativer. Det kræver naturligvis at man kigger efter dem.

4. april kl. 13:09
KL jubler over ny data-aftale: »Det er en kæmpe, kæmpe lettelse«

Man ved jo snart ikke om man orker gentage det åbenlyse, men uden en signifikant lovændring og en total kovending fsva. praksis med håndtering af persondata i USA, så kan der ikke laves en gyldig aftale.

KL har jo desværre i flere år anbefalet kommunerne at sende borgernes allermest følsomme data i hænderne på de amerikanske efterretningstjenester, også efter Schrems II-dommen. Det er naturligvis svært for KL at indrømme at de har prioriteret den amerikanske regerings interesser over de danske borgeres, så de bliver nødt til at fortsætte i samme spor.

KL har mistet deres troværdighed på dette punkt, så lad os håbe at kommunerne har lært lektien: Glem hvad den amerikanske regering/KL siger og følg jeres mavefornemmelse. I kommununerne ved man godt hvad der er rigtigt og hvad der er forkert. Og ingen aftaler kan standse misbruget. Kun ved at kommunerne opfører sig etisk og altså bruger danske/europæiske cloud-løsninger uden bånd til amerikanske virksomheder, kan de opfylde deres forpligtelser over borgerne.

Og så lige til sidst en lille påmindelse (til Pernille Jørgensen og co.) : Det gælder om at FORHINDRE at personoplysninger falder i de forkerte hænder, ikke at finde et midlertidigt juridisk smuthul at gemme forbrydelsen bag. Det er IKKE svært det her!

4. april kl. 12:31
Ekspert advarer: Ny cloud-vejledning løser ikke Schrems II-problemerne

Der er flere ting i denne artikel, som jeg finder besynderligt.

For det første, så læste jeg overskriften og tænkte "siden hvornår er Henning Mortensen blevet ekspert i Schrems II?" og for det andet så gentager artiklen bare det vi alle sammen har vidst siden EU Domstolen udgav dommen i juli 2020 og det stod klart at Henrik Øe havde lavet et juridisk set fremragende stykke arbejde. Dommen har effektivt lukket for alle smuthuller, så de der der ligeglade med etik og moral, nu er tvunget til at opføre sig ordentligt med vores personoplysninger.

Lad mig lige fokusere på det første, for hvorfor er Rådet for Digital Sikkerheds formand lige pludselig ekspert i dommen? I maj 2021 tonede han frem på Computerworld og jublende fortalte at vi bare kunne bruge de amerikanske cloud-løsninger, for nu havde Microsoft lovet at "holde data i Europa".

Enhver der har gidet at bruge 20 minutter på at læse dommen, vil vide at den slags ingen forskel gør, da det er amerikansk ejerskab der udgør problemet. Det underliggende problem har været offentligt kendt siden 2001 og almenviden siden 2013.

Man er måske nødt til at spørge manden selv, eller måske Louise Olifent, hvad der gør at rådets formand på de kun 9 måneder der er gået, er blevet ekspert i noget han ikke vidste et klap om i maj 2021? Det må da kunne udløse en god historie!

Så er der denne her dårlige vane med at kalde det for "Schrems II-kaos" eller "Schrems II-problemet". Det er ikke hverken Max Schrems eller dommene han har lagt navn til, som udgør problemet eller har skabt kaos. Det er virksomhederne og myndighederne selv, der har skabt kaos. Det er 100% selvskabt.

Hvis man havde brugt kræfterne på at bruge danske eller EU-baserede cloud-leverandører, i stedet for at bruge leverandører som man allerede vidste misbrugte vores data, så havde vi stået et helt andet sted i dag. Og udbuddet i EU havde været på et meget højere niveau end det er nu.

Det er super positivt at man nu tvinges til at bruge nogle af de mange spændende muligheder der findes i EU, så der er ingen grund til at være sur på hverken Schrems eller EU Domstolen. Hvis man skal være sur på andre end sig selv, så må det være på dem der har narret danske virksomheder og myndigheder til at bruge amerikanske leverandører, selv om de måtte vide at det var forkert.

12. marts kl. 12:24
Certifikat-brøler hos MitID gav usikker forbindelse: »Det må siges at være røde ører«

Uanset om du har ret eller ej, (og det har du nok) så har dataansvarlige siden juli 2020 haft bevisbyrden. Det er altså op til Digitaliseringstyrelsen at dokumentere at Akamai ikke kan læse data.

1. februar kl. 12:40
Certifikat-brøler hos MitID gav usikker forbindelse: »Det må siges at være røde ører«

Jeg bad i december digitaliseringstyrelsen om at forklare deres brug af Akamai og midt i januar bad de om yderligere 14 dage til at undersøge sagen.

De er nu udløbet så jeg laver anmeldelse til Datatilsynet i denne uge.

1. februar kl. 12:29
EU vil skabe egen DNS-tjeneste med indbyggede filtre

Det er da på tide at EU får hånd i hanke med DNS og dermed kommer et skridt nærmere digital suverænitet, men...

Hvad skal vi bruge blokeringsfeatures til? Det hørmer lidt af censur, gør det ikke?

24. januar kl. 10:59
Facebook-whistleblower vidner i EU: »Åbenhed om tech-giganter skal være uden undtagelser«

Som Ole siger, så er der noget uldent ved Frances...

Ifølge Glenn Greenwald, så fortæller hun ikke noget vi ikke vidste og hendes formål er formentlig at få flyttet Facebook's "magt" ind under den amerikanske regerings kontrol.

Hun er forøvrigt sponsoreret af Pierre Omidyar, som også sponsorer Greenwalds The Intercept (som Greenwald forlod sidste år), så Greenwald har noget at have det i.

Se f.eks her: https://www.mediaite.com/tv/glenn-greenwald-says-frances-haugen-isnt-a-brave-whistleblower-like-snowden-or-assange/

10. november 2021 kl. 08:13
Schrems' positivliste

Ja ... men du indikerede at blot man havde en amerikansk ejer der ejer en ganske lille aktiepost så var man i fare. Det er åbenlyst forkert.

Som dataansvarlig har du for det første pligt til at navigere uden om risiko for at data falder i de forkerte hænder. Da vi ikke kender "størrelsen" på den risiko ved helt eller delvist amerikansk ejerskab, så er man tvunget til at undgå disse firmaer.

For det andet så har man jo nu omvendt bevisbyrde. Det betyder at dataansvarlig skal godtgøre/dokumentere at data ikke kan falde i de forkerte hænder, inden man bruger en leverandør. (Hvordan skal man gøre det?)

Så jeg vil mene at jeg har åbenlyst ret, når jeg siger at man ikke kan overholde GDPR (og almindelig god opførsel) ved at bruge firmaer med amerikansk ejerskab.

9. november 2021 kl. 20:40
Schrems' positivliste

I stedet ender disse diskussioner altid med at degenerere til had til amerikanere, oprør mod magten, open source, etc. Men det har intet med problemet at gøre.

Det er bestemt ikke sådan jeg opfatter det. Version2s læsere er udmærket i stand til at adskille "had til amerikanere" med en sund skepsis overfor en regering som konsekvent overtræder EU-borgernes grundlæggende rettigheder.

Og så er det jo ikke "oprør mod magten" at påberåbe sig sine grundlovssikrede rettigheder, med mindre "magten" er galt afmarcheret i forhold til loven. Det er vel nærmest en borgerpligt!

(Jeg har ikke bemærket at open source bliver nævnt i væsentligt omfang i denne debat og hvorfor skulle det også det?)

I denne tråd, som jo egentligt handler om noget helt andet, har debatten cirklet om i hvilket omfang amerikansk ejerskab af et dansk/EU-selskab, udgør en risiko for at være underlagt amerikansk lovgivning. Og der er alligevel ingen af os der ved det.

9. november 2021 kl. 13:16
Schrems' positivliste

Jeg er dog stadig interesseret i at vide, hvordan en mindre, amerikansk-ejet aktiepost i et europæisk selskab kan give de amerikanske myndigheder adgang til det pågældende selskabs data.

Ja, det er vi alle sammen og deri ligger problemet.

Du må ikke som dataansvarlige løbe den risiko. Som jeg sagde ovenfor, så mangler vi indsigt i den hemmelige lovgivning og en juridisk afklaring.

Og så bør du jo heller ikke løbe den risiko. Det er andre menneskers rettigheder du leger med. Men sidstnævnte er et spørgsmål om moral.

8. november 2021 kl. 14:23
Schrems' positivliste

Har du en konkret kilde på det?

Mere konkret end EU Domstolen?? Det kan næppe lade sig gøre. Du kan evt, læse Michael Hopps udlægning af dommen på Plesners blog fra juli 2020.

Stort set alle borgere i vestlige lande er jo på den en eller anden måde sårbare over for amerikanske sanktioner.

Det er rigtigt, men jo mere man gør sig afhængig af infrastruktur som er amerikansk-ejet, jo mere sårbar bliver man. Det handler om at få lidt af vores digitale suverænitet tilbage.

Virksomheder, der bruger netværksudstyr fra amerikanske leverandører, som vi jo ved har placeret bagdøre overalt? Ud med dem. Opbevaring af data på servere med amerikansk designede processorer, der kan fjernstyres af NSA? Væk med dem. Telefonisk behandling af data på telefoner med amerikansk software?

Nu synes jeg du bliver lidt fundamentalistisk ;-)

Men hvad forhindrer os i at bruge noget andet? Hvorfor bruger vi ikke bare de mange EU-baserede leverandører? Der laves f.eks. også netværksudstyr i flere EU-lande. Er det i virkeligheden bare dovenskab?

Hvad er alternativet - teknologi fra kinesiske eller russiske leverandører?

Det er sådan et sjovt argument, som ofte spilles på banen. Det som er sjovt er jo at ingen af de to lande er blevet afsløret i at misbruge vores data og dermed udføre meget grove krænkelser af vores rettigheder, men det er den amerikanske regering i høj grad.

Men som sagt, så er der EU-alternativer som kan bruges. Vi skal jo så bare sørge for at der ikke lige kommer en sniger fra "the usual suspects" i form af et opkøb, men det kan man jo styre ved at indføre lovgivning om at "kritisk infrastruktur" ikke må komme i farezonen. Ligesom vi har gjort med systemiske banker.

...en nogenlunde pragmatisk tilgang til tingene...

Jeg hører hvad du siger, men kan man tillade sig at være pragmatisk med andre menneskers private/personlige oplysninger?

8. november 2021 kl. 13:03
Schrems' positivliste

Og hermed har du dømt alle børsnoterede selskaber ude, da der kunne risikere at være amerikanske aktionærer i ejerkredsen. Det virker en kende fundamentalistisk.

Nu er det jo ikke mig der siger det, men EU Domstolen. Don't kill the messenger :-)

Men du har ret, det virker fundamentalistisk og det er fordi den hemmelige amerikanske lovgivning tvinger os til at gå med livrem og seler. Hvis der havde været en dom som præciserede hvilken form for ejerskab som EU Domstolen henviser til, samtidigt med at vi vidste hvad den amerikanske lovgivnings rækkevidde var, så ville vi (måske) kunne være mindre fundamentalistiske som du kalder det.

Indtil vi ved det, så har man som dataansvarlig pligt til at undgå enhver form for risiko.

Men som jeg har sagt mange gange før, så kommer GDPR jo EFTER almindelig anstændig opførsel. Du kunne da vel ikke finde på, bevidst, at krænke dine medborgeres/kunders grundlæggende rettigheder fsva. data, ved at udsætte dem for den risiko amerikanske databehandlere udgør?

8. november 2021 kl. 12:02
Schrems' positivliste

Nej, Datatilsynet nægter at håndhæve loven fsva. amerikansk-ejede virksomheder, så hvis du selv synes det er i orden at sende personoplysninger ud til usikre tredjelande, så kan du sikkert bare klø på.

Indtil vi får et rigtigt datatilsyn, må vi sætte vores lid til at folk vælger at behandle vores data med respekt.

(Ja, grin bare, jeg ved at de fleste skider på grundlæggende borgerrettigheder. De vil hellere have pengene...)

7. november 2021 kl. 22:52
Schrems' positivliste

Igen, så er det ligegyldigt om de har adgang. De er sårbare overfor en delvist hemmelig amerikansk lovgivning, som kan pålægge dem at give adgang, uden at den dataansvarlige orienteres.

Det er nok til at de ikke må bruges.

7. november 2021 kl. 19:59
Schrems' positivliste

"Når BlackRock har 1.8% af stemmerettighederne, så har de ikke et kontrollerende ejerforhold".

Det er desværre ikke relevant hvor stor ejerandelen er. Da meget af den problematiske amerikanske lovgivning er hemmelig, så kender vi ikke rækkevidden af den. Det udgør en risiko som dataansvarlige er forpligtet til at undgå.

Jeg har rådført mig med Max Schrems' juridiske team i NOYB og de er enige.

Sorry....

7. november 2021 kl. 19:50