Det er meget spændende!

CLOUD-act kan netop kræve følgende af cloud-udbyderen:

"A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States."

Det er uklart i lov og praksis, om "preserve" betyder, at udbyderne kan pålægges at logge bestemte kunder eller alle (god gamle "generel og udifferentieret logning"), eller hvad ellers det går ud på.

Men som jeg læser det, sammenholdt med dit tidligere blogindlæg fra 2020, kan det betyde at selv krypteret RAM så ikke ville være nok, hvis CPU ligger hos cloud-udbyderen og NSA via CLOUD-act teoretisk kan kræve at cloud-udbyderen prøver noget for at få adgang til CPU. Og her går jeg altså stadig ud fra at cloud-udbyderen ikke er decideret ondt. Jeg kan bare ikke gå ud fra det samme fra NSA, blot af den grund at de ikke er gennemsigtige, og jeg derfor hellere går ud fra det værste. Aftaler med AMD tror jeg nu ikke på, men det er stadig uklart for mig hvor langt NSA kræver at cloud-ubdydere går for at få fat i og opbevare data, som de mener er "within such provider's "possession"".

(Og ret mig endeligt, hvis jeg har forstået noget af teknikken omkring AMD SEV el.lign.)

Hvorledes mon det harmonere med MitID's privatlivspolitik, Akamai er jo også Amerikansk-ejet. Kunne være interessant at få oplyst "hvorfor der er sikret overførelsesgrundlag for denne eventuelle kortvarige behandling". Måske er der noget vi andre må få lov til at anvende?

6. Overførsel til modtagere i tredjelande, herunder internationale organisationer Vi overfører som udgangspunkt ikke dine personoplysninger til modtagere uden for EU og EØS. Bemærk dog hvis du får MitID enten i Grønland eller Færøerne, vil Digitaliseringsstyrelsen sikre overførselsgrundlag. Vi anvender leverandøren Akamai til visse sikkerhedsmæssige driftsleverancer. Hvis sådanne driftsmæssige forhold derfor nødvendiggør det, kan behandling af persondata ske uden for EU, hvorfor der er sikret overførselsgrundlag for denne eventuelle kortvarige behandling. https://www.mitid.dk/mitid-admin-proxy/v4/legal-documents/files/MitID_Privatlivspolitik_v1_2.pdf

Jeg skrev om confidential computing i 2020: https://www.version2.dk/holdning/confidential-cloud-computing-digital-restrictions-management-og-international-day-against

Og jeg vurderer, at dette kunne være en af de tekniske forholdregler, som Datatilsynet vil acceptere: Hvis data aldrig er dekrypteret uden for CPU'en og det kun er kunden, der har nøglen til CPU'en, så burde det være OK.

Det kræver, at vi har tillid til, at CPU producenten ikke konspirerer med NSA, så NSA får en bagdør i CPUen, og måske kunne den problematik løses ved at vi får en europæisk CPU produktion, og at der kommer krav om at bruge disse?

Det ville åbne for at kunne leje hardware.

1. Burde ikke være noget, der er forundrende her. Kryptering kan fint gøre det muligt at bruge cloud. Der skal bare 100 % aldrig være ukrypteret i US-clouden. Krypteret data = ulæseligt.

2. Der er intet kattelem her. Du kan bruge US-cloud, hvis du kan kryptere det fuldt ud, hvilket kun er muligt i ét tænkeligt scenarie, nemlig når man bruger den store cloud-maskine til blot at opbevare krypteret data, hvor ingen processering af data foregår.

3. Det er svært med hvilken lov gælder. Det er jo det springende punkt her: internettet har ingen jurisdiktion. Internettet er globalt. Så, hvis man primært arbejder på internettet, så står man i en situation, hvor man kan være mødt med ligelig store krav fra den ene side af atlanten og den anden.

4. Al den snak om US-cloud aktører er der, fordi ingen EU-cloud kan hoste op, hvad en US-cloud kan. EU-clouds er i et forholdsvist tidligt stadie, og er langt fra så effektive og med så mange funktionaliteter og muligheder, som US-clouds har. Så, det er ikke bare lige hurtigt at vælge en EU-cloud og så fortsætte lystigt. Det bliver både dyrere, mere kompliceret, derfor skal mere tekniske hænder til, så kan du samtidig ikke tilbyde dine kunder det samme længere, ej heller til samme pris, og kvaliteten af din tjeneste forringes, osv. Det ville svare til at have en toplækker og super billig butik på strøget i KBH, og så skulle flytte til en ekstrem dyr, men mindre, og lidt beskidt, butik i gågaden i Hobro. Så, der er stadig rigtig god teknisk incitament til at bruge US-clouds. Hvis EU en skøn dag ægte ville prioritere at blive en reel konkurrent i cloud-markedet, ville der skulle gå nogle år, før vi kan følge med. Og det er vel at mærke, når EU tilfører midler til EU-cloud i stor stil.

Ja jeg er også noget forundret over denne meget vage melding om muligheden for en kattelem. Det har under alle hidtidige forhandlinger om GDPR og i høring været gældende at data der ikke er anonymiseret men "kun" krypteret eller pseudonnymisrede, stadig var at betragte som læsbare,- blot med en nøgle- og de iøvrigt kan være af divergerende kvalitet. FISA'a ret til indsigt i data på amerikansk ejet materiel,uanset hvor på kloden det måtte opbevares, mener jeg også har forrang for EU lov, idet at det er en national lov, så der er et eller andet der ikke hænger sammen. Men hvorfor egentlig al den snak om cloud fra aktører der er udenfor EU, giv dog taletid til de der faktisk snildt kan tilbyde ren EU Cloud og hvorfor iøvrigt ikke også tale om etablering af national Cloud?

Datatilsynet er - ser det ud til - så småt ved at se skriften på væggen. Men:

• Jeg troede, at det var ejerskabet, ikke den geografiske placering, som var afgørende? Er det overhovedet muligt/lovligt for et amerikansk ejet selskab at skrive en kontrakt under, hvor der står, at de - i tilfælde af konflikt om udlevering af data - ikke vil overholde amerikansk lov? Eller er det ikke bare endnu en kattelem opfundet til lejligheden?
• Når vi alligevel ikke kan få oplyst, hvilke anmodninger tech-giganterne udsættes for, hvordan i alverden skal vi så kontrollere, om de overholder en sådan kontrakt?
• Hvad vil firmaer, der har underskrevet en sådan kontrakt, gøre, hvis de trækkes i retten af NSA/den amerikanske stat for ikke at ville udlevere de data? Tror vi så virkelig på, at de alligevel vil overholde en sådan kontrakt? Hvem er de mon mest bange for?

Nej - jeg tror ikke et sekund på, at den af Datatilsynet foreslåede kattelem vil løse problemet - ikke andet end på overfladen, i det mindste. Under overfladen vil data stadig være forsvarsløst vildt. Datatilsynet ør bare ikke sige blankt "nej" - og så længe de kan finde dpå nye kattelemme, kan de udsætte det ubehagelige øjeblik, hvor de skal til at komme efter firmaer, der ikke lever op til GDPR. Og det er jo et vigtigt formål.

Desuden: Kattelemmen indebærer i følge artiklen, at data så kan sendes i klartekst. Jeg troede, at disse persondata ALDRIG måtte sendes i klartekst - heller ikke indenfor EU? Er det ikke uanset hvad noget forfærdeligt juks at gøre? Eller foregår det i lukkede kredsløb/systemer, hvor tilfældige it-medarbejdere ikke kan få fingre i dem undervejs, a pro pos dagens historie om it-medarbejders snagen i tusindvis af sundhedssjournaler?