Nyt notat fra Kromann Reumert punkterer myter omkring Patriot Act og myndigheders adgang til cloud-data

Spørgsmål til justitsministeren (endnu ikke besvaret)http://www.ft.dk/samling/20111/almdel/REU/spm/700/index.htm

Det er jo ingen hemmelighed, at jeg er begejstret for de muligheder cloud computing giver for såvel store som små virksomheder. I mange tilfælde i form af konkrete besparelser på f.eks håndtering af mail i forhold til egen mailserver eller mail hosted hos een traditionel serviceudbyder. Cloud Services som Gmail, Hotmail, Office365 er ofte billigere og i min optik mindst lige så sikre som den mailserver der står i virksomhedens kælder eller hos en alm. dansk hoster.

Dermed ikke være sagt, at der ikke kan være udfordringer eller risici ved at benytte cloud computing og jeg synes der har været flere gode eksempler i de mange kommentarer til mit indlæg.De risici skal vi være opmærksomme på og prøve at minimere mest muligt.

Patriot Act og stramningerne i den danske retsplejelov kan vi f.eks diskutere længe - er myndighederne gået for vidt i forhold til borgere og virksomheders ret til privacy ? Det er bestemt muligt og jeg er ikke nogen fan af hverken Patriot act eller de danske stramninger. Min pointe er blot at disse regler ikke kun gælder for cloud leverandører, men uanset hvor data opbevares.

Når jeg til tider går lidt er lidt efter datatilsynet, så skyldes det at tilsynet - efter min helt personlige opfattelse - er med til at bremse unødigt op for mange virksomheder og organisationers brug af cloud computing. Universiteter, skoler og mange andre kunne have glæde af gratis software og IT-drift og jo hurtigere vi får nogle afgørelser i de verserende sager, jo bedre kan vi forholde os til om der er tekniske eller juridiske forhold eller praksis der konkret skal ændres.

... at Patriot Act eller reglerne i retsplejeloven bør tillægges større vægt i forbindelse med evt. valg af én given cloud-ydelse ...

Spændende om Peter Lunding Smith vil forholde sig til de mange kommentarer.

Alle som er for Cloud løsninger ønsker datatilsynet hen hvor peberet gror. Men det som ikke overvejes er fordele konta/ulemper. Der sættes en estimeret økonomisk gevinst over for en risiko for misbrug af den enkeltes personlige oplysninger.

Som flere af indlægene påpeger så er det faktisk en ustabil verden vi lever i, og hensynet til at personfølsomme oplysninger ikke bliver misbrugt bør tages alvorligt.

Udsagnet om at Datatilsynets er restriktive i deres fortolkning og de bygger deres håndtering på en forældet bekendtgørelse. Er jo en påstand, som passer godt hvis man er Cloud computer tilhænger.

Vi kan jo prøve den antagelse at Danmark kommer til at ytre sig imod en nation som f.eks. land i østen, ytringsfrihed eller andet som falder deres magthaver for brystet. Og så har en eller anden offentlig virksomhed fået lagt sine data derude. Det vil så være muligt for en lokal efterretningstjeneste at undersøge alt om enkelt personer deres familier og venner når det passer den.

Skal vi tage et eksempel: Indien lukker for at Danske virksomheders mulighed for at byde på opgaver i Indien, p.g.a. vi ikke vil udlevere en dansk statsborger til retslig prøvelse da man frygter for hans sikkerhed. Jo det kan alle huske er sket ikke? Næste skridt kunne jo nemt være at benytte sig af oplysninger som er tilgængelige vedr. personen, hvis data var tilgængelig. Der er jo ingen tvivl om at Indien bedømmer at de er i deres gode ret til at anvende sig af alle muligheder som er tilladt når det gælder terror anklagede.

Her taler vi endda om at data som ligger placeret i et såkaldt demokrati, og situationen ville være endnu værre i diktaturerne i Østen og andre steder i verden.

Spørgsmålet er hvor stor ønsker vi at risiko'en for misbrug af befolkningens mest personlige oplysninger må være. Er det vigtigst at vi holder risikoen lav eller er det vigtigst at offentlige virksomheder kan sparre nogle mio. kr. i driften af nogle IT systemer?

Man kunne jo også anvende analogien fra finanssektoren, som igennem de sidste 15 år har fjernet alle regler som de kaldte forældede, og som regulerede Wall-street fra 1929 frem til midt 90'erne. Og nu viser det sig at de regler ville have forhindret kolapset i 2008 !!!

Så Cloud er godt, men er det til alt vi skal bruge det, og ikke mindst hvornår er det klogt at anvende det. Det er nok ikke bare en jurist med it kompetancer som skal gøre indflydelsen gældende.

Heldigvis har vi jo ytringsfrihed i Danmark, og det ses jo heldigvis ved at Peter Lunding Smith kan komme til orde i blogs og andre kan kommentere det. Ikke så tosset at være borger i sådan et land :-)

Én af de indvendinger eller myter jeg ofte hører er, at data der behandles og opbevarer i et datacenter udenfor Danmarks grænser, er i langt større risiko for at blive gennemset af f.eks. amerikanske myndigheder

Det er jo i og for sig rigtigt nok. Men som andre er inde på, så betyder det ikke at Patriot Act er ubetydelig i cloud sammenhæng. Det betyder at man er nødt til ikke bare at sikre at den fysiske lokation ikke er underlagt Patriot Act eller lignende, man er også nødt til at sikre selve leverandøren (incl. underafdelinger) ikke er underlagt den slags lovgivning.

Det sætter reelt en grænse på hvor stor leverandøren kan være, siden et multinationalt selskab i praksis opererer under den kombinerede lovgivning i alle de lande det opererer i. Et godt eksempel er UK's Anti Bribery lovgivning, som gælder for alle firmaer der har bare marginal berøring med UK (datterselskaber i UK, sælger varer i UK, sælger varer for firmaer i UK osv.).

Kromann Reumert notatet konstaterer at hvis data befinder sig i Danmark, kan de danske myndigheder få adgang til dem via en dommerkendelse, jf. reglerne herom i den danske retsplejelov. Hvis data befinder sig i USA, kan de amerikanske myndigheder få adgang til dem efter de amerikanske retsregler, herunder Patriot Act.

Undskyld mig, men det er der altså ikke noget nyt i. Kritikken af amerikanske cloud leverandører i relation til Patriot Act er ikke baseret på en præmis om at data er hermetisk beskyttet mod myndighedernes adgang via retskendelser hvis de blot opbevares i EU.

Det handler om at man ved at vælge en amerikansk cloud leverandør eksponerer sig over for myndighederne i en fremmed magt (USA) foruden de lokale myndigheder, og at man kommer ind under Patriot Act -- en lovgivning som reelt har afskaffet begrebet "borgerrettigheder" i den hellige krig mod terror.

Kromann Reumert notatet bemærker selv at det er nemmere at få en retskendelse om adgang til data efter Patriot Act sammenlignet med dansk lovgivning. Der er meget lidt domstolskontrol med de kendelser (subpoena, som er noget andet end en "court order") som udstedes efter Patriot Act. Talrige eksempler har vist at der reelt ikke er nogen domstolskontrol, og i mange tilfælde kommer domstolskontrollen kun på tale hvis cloud udbyderen (databehandleren) kræver det. Google's forretningsmodel er altså ikke at føre retssager mod den amerikanske regering for at forsvare EU borgeres rettigheder og privatliv, og det er meget nemmere for Google blot at udlevere data end at gøre indsigelse.

I konklusionen bemærker Kromann Reumert at Patriot Act kun gælder for data, som vedrører terror og alvorlig kriminalitet. Ja, det er jo meget godt, men det er altså FBI & friends som bestemmer hvad der er "terror og alvorlig kriminalitet", og deres definition er temmelig bred.

Her er f.eks. en sag hvor FBI bruger Patriot Act til at få adgang til oplysninger om hvem der har lånt en bog på en bibliotekhttp://www.wce.wwu.edu/Resources/CEP/eJournal/v005n002/a007.shtml

Når udlån af en bog kan blive til en sag om terrorisme, er der formentlig ikke nogen grænser for hvad der kan blive til en sag om terrorisme. Eller sagt med andre ord: alle data kan blive berørt af Patriot Act, så Kromann Reumert's bemærkninger om at det kun er "nogle data" giver ingen mening.

Det er heller ikke særligt betryggende at der er en lang række sager om FBIs misbrug af deres (i forvejen meget vide) beføjelser under Patriot Acthttp://www.guardian.co.uk/world/2007/mar/09/usa

Hold danske og EU persondata langt væk fra amerikanske cloud leverandører! Der er alt at tabe og intet at vinde. Mens vi er ved emnet: det er stærkt bekymrende at mange offentlige registre administreres af den amerikanske virksomhed CSC. De problemer som gælder for EU datterselskaber af amerikanske cloud leverandører gælder formentlig også for CSC Danmark.

At forholde sig til en advokatvirksomheds notat, og benytte det til at nedgøre datatilsynets fortolkning af Dansk lov, finder jeg betænkeligt.

Der er tale om, at det er ulovligt at føre person-følsomme data ud af landet, og det må man forholde sig til, i de løsninger man vælger.

Hvorfor i alverden, skal man også fyre Danske medarbejdere, for at Stat og Kommuner kan spare nogen få procenter. Det hænger jo samfundsøkonomisk ikke sammen, men det hænger heller ikke sammen, i forhold til at Dansk viden skal vedligeholdes og udbygges.

I forhold til terrorisme, så vil jeg minde om, at der fortsat er noget der hedder IRA, så jeg kan slet ikke forstå, at Irland overhovedet bliver nævnt i et sådant blogindlæg.

Især Irland, har vi sendt rigeligt med penge til, gennem fejlslagne finanseventyr, og ekstraordinær økonomisk goodwill. En mere konstruktiv tilgang, hvor der kigges på hvorledes der kan skabes Danske cloud-løsninger, som fungerer og holder sig inden for Dansk lovgivning, vil jeg se mere positivt på.

I mit næste blogindlæg vil jeg tage hul på diskussionen af én anden barriere for brugen af cloud computing i DK – Datatilsynets sagsbehandling og restriktive fortolkning af en forældet bekendtgørelse.

I mit næste indlæg vil jeg endnu engang punke Datatilsynet, da det ikke passer i mit kram at de, som nogen af de eneste her i landet, stadig udviser sund fornuft.

[quote]Én af de indvendinger eller myter jeg ofte hører er, at data der behandles og opbevarer i et datacenter udenfor Danmarks grænser, er i langt større risiko for at blive gennemset af f.eks. amerikanske myndigheder.[quote]Altså, for lige at få sagen på plads, det hjælper ikke en snus at datacentret er placeret i Danmark hvis en virksomhed som i en eller anden grad er underlagt amerikansk lov har adgang til det.

Datacentret skal både fysisk og juridisk være placeret udelukkende i Danmark, eller en anden nation som man kun har moderat mistillid til.

Konklusionen er ikke at det er ligemeget, konklusionen er at den fysiske placering kun er en af to veje til statsligt organiseret datatyveri, og hvis man kun tænker over den ene af disse to veje hjælper det næppe.

"Hvis en virksomhed alligevel frygter, at dens data bli- ver lettere tilgængelige for offentlige myndigheder og politiet, hvis de gemmes i skyen, og virksomheden ikke er tryg ved dette, så bør virksomheden ganske enkelt afholde sig fra at lagre data i skyen."