Datatilsynet: Tech-giganternes EU-cloud gør dig ikke GDPR-sikker

24. marts kl. 12:286
Allan Frank, Datatilsynet
Illustration: Datatilsynet.
De amerikanske cloud-leverandørers planer om at indhegne databehandlingen i EU er ikke tilstrækkelig til at gøre det lovligt for danske kunder at bruge tjenesterne, fortæller Datatilsynets ekspert. Først skal databehandleraftalerne nemlig ændres.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Flere store tech-giganter, blandt andet Microsoft og Google, arbejder lige nu på at lave europæiske cloud-løsninger, efter Schrems II-dommen har gjort det meget vanskeligt for danske virksomheder og myndigheder at migrere til amerikansk cloud.

Rykket til Europa indebærer blandt andet, at databehandlingen udelukkende foregår inden for EUs rammer. På den måde kan dataansvarlige virksomheder og myndigheder undgå, at europæiske borgeres personoplysninger ender i USA, hvor problematisk lovgivning truer retten til privatliv.

Få fuld adgang til Tech Management

Tech Management er Teknologiens Mediehus’ ledelsesmedie, der klæder dig på til stærk ledelse i den teknologiske transformation.

Få 3 uger gratis prøve abonnement til Tech Management. Betalingskort er ikke påkrævet, og du vil ikke blive flyttet til et betalt abonnement efterfølgende.

Du kan også få tilsendt et tilbud til dig.

Abonnementsfordele
vpn_key
Fuld adgang til Tech Management
Alt indhold på Tech Management er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
6 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
22. marts kl. 17:39

Hvorledes mon det harmonere med MitID's privatlivspolitik, Akamai er jo også Amerikansk-ejet. Kunne være interessant at få oplyst "hvorfor der er sikret overførelsesgrundlag for denne eventuelle kortvarige behandling". Måske er der noget vi andre må få lov til at anvende?

  1. Overførsel til modtagere i tredjelande, herunder internationale organisationer Vi overfører som udgangspunkt ikke dine personoplysninger til modtagere uden for EU og EØS. Bemærk dog hvis du får MitID enten i Grønland eller Færøerne, vil Digitaliseringsstyrelsen sikre overførselsgrundlag. Vi anvender leverandøren Akamai til visse sikkerhedsmæssige driftsleverancer. Hvis sådanne driftsmæssige forhold derfor nødvendiggør det, kan behandling af persondata ske uden for EU, hvorfor der er sikret overførselsgrundlag for denne eventuelle kortvarige behandling.https://www.mitid.dk/mitid-admin-proxy/v4/legal-documents/files/MitID_Privatlivspolitik_v1_2.pdf
4
22. marts kl. 15:59

Jeg skrev om confidential computing i 2020:https://www.version2.dk/holdning/confidential-cloud-computing-digital-restrictions-management-og-international-day-against

Og jeg vurderer, at dette kunne være en af de tekniske forholdregler, som Datatilsynet vil acceptere: Hvis data aldrig er dekrypteret uden for CPU'en og det kun er kunden, der har nøglen til CPU'en, så burde det være OK.

Det kræver, at vi har tillid til, at CPU producenten ikke konspirerer med NSA, så NSA får en bagdør i CPUen, og måske kunne den problematik løses ved at vi får en europæisk CPU produktion, og at der kommer krav om at bruge disse?

Det ville åbne for at kunne leje hardware.

6
23. marts kl. 11:42

Det er meget spændende!

CLOUD-act kan netop kræve følgende af cloud-udbyderen:

"A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States."

Det er uklart i lov og praksis, om "preserve" betyder, at udbyderne kan pålægges at logge bestemte kunder eller alle (god gamle "generel og udifferentieret logning"), eller hvad ellers det går ud på.

Men som jeg læser det, sammenholdt med dit tidligere blogindlæg fra 2020, kan det betyde at selv krypteret RAM så ikke ville være nok, hvis CPU ligger hos cloud-udbyderen og NSA via CLOUD-act teoretisk kan kræve at cloud-udbyderen prøver noget for at få adgang til CPU. Og her går jeg altså stadig ud fra at cloud-udbyderen ikke er decideret ondt. Jeg kan bare ikke gå ud fra det samme fra NSA, blot af den grund at de ikke er gennemsigtige, og jeg derfor hellere går ud fra det værste. Aftaler med AMD tror jeg nu ikke på, men det er stadig uklart for mig hvor langt NSA kræver at cloud-ubdydere går for at få fat i og opbevare data, som de mener er "within such provider's "possession"".

(Og ret mig endeligt, hvis jeg har forstået noget af teknikken omkring AMD SEV el.lign.)

2
21. marts kl. 16:18

Ja jeg er også noget forundret over denne meget vage melding om muligheden for en kattelem. Det har under alle hidtidige forhandlinger om GDPR og i høring været gældende at data der ikke er anonymiseret men "kun" krypteret eller pseudonnymisrede, stadig var at betragte som læsbare,- blot med en nøgle- og de iøvrigt kan være af divergerende kvalitet. FISA'a ret til indsigt i data på amerikansk ejet materiel,uanset hvor på kloden det måtte opbevares, mener jeg også har forrang for EU lov, idet at det er en national lov, så der er et eller andet der ikke hænger sammen. Men hvorfor egentlig al den snak om cloud fra aktører der er udenfor EU, giv dog taletid til de der faktisk snildt kan tilbyde ren EU Cloud og hvorfor iøvrigt ikke også tale om etablering af national Cloud?

3
22. marts kl. 09:22
  1. Burde ikke være noget, der er forundrende her. Kryptering kan fint gøre det muligt at bruge cloud. Der skal bare 100 % aldrig være ukrypteret i US-clouden. Krypteret data = ulæseligt.

  2. Der er intet kattelem her. Du kan bruge US-cloud, hvis du kan kryptere det fuldt ud, hvilket kun er muligt i ét tænkeligt scenarie, nemlig når man bruger den store cloud-maskine til blot at opbevare krypteret data, hvor ingen processering af data foregår.

  3. Det er svært med hvilken lov gælder. Det er jo det springende punkt her: internettet har ingen jurisdiktion. Internettet er globalt. Så, hvis man primært arbejder på internettet, så står man i en situation, hvor man kan være mødt med ligelig store krav fra den ene side af atlanten og den anden.

  4. Al den snak om US-cloud aktører er der, fordi ingen EU-cloud kan hoste op, hvad en US-cloud kan. EU-clouds er i et forholdsvist tidligt stadie, og er langt fra så effektive og med så mange funktionaliteter og muligheder, som US-clouds har. Så, det er ikke bare lige hurtigt at vælge en EU-cloud og så fortsætte lystigt. Det bliver både dyrere, mere kompliceret, derfor skal mere tekniske hænder til, så kan du samtidig ikke tilbyde dine kunder det samme længere, ej heller til samme pris, og kvaliteten af din tjeneste forringes, osv. Det ville svare til at have en toplækker og super billig butik på strøget i KBH, og så skulle flytte til en ekstrem dyr, men mindre, og lidt beskidt, butik i gågaden i Hobro. Så, der er stadig rigtig god teknisk incitament til at bruge US-clouds. Hvis EU en skøn dag ægte ville prioritere at blive en reel konkurrent i cloud-markedet, ville der skulle gå nogle år, før vi kan følge med. Og det er vel at mærke, når EU tilfører midler til EU-cloud i stor stil.

1
21. marts kl. 13:39

Datatilsynet er - ser det ud til - så småt ved at se skriften på væggen. Men:

  • Jeg troede, at det var ejerskabet, ikke den geografiske placering, som var afgørende? Er det overhovedet muligt/lovligt for et amerikansk ejet selskab at skrive en kontrakt under, hvor der står, at de - i tilfælde af konflikt om udlevering af data - ikke vil overholde amerikansk lov? Eller er det ikke bare endnu en kattelem opfundet til lejligheden?
  • Når vi alligevel ikke kan få oplyst, hvilke anmodninger tech-giganterne udsættes for, hvordan i alverden skal vi så kontrollere, om de overholder en sådan kontrakt?
  • Hvad vil firmaer, der har underskrevet en sådan kontrakt, gøre, hvis de trækkes i retten af NSA/den amerikanske stat for ikke at ville udlevere de data? Tror vi så virkelig på, at de alligevel vil overholde en sådan kontrakt? Hvem er de mon mest bange for?

Nej - jeg tror ikke et sekund på, at den af Datatilsynet foreslåede kattelem vil løse problemet - ikke andet end på overfladen, i det mindste. Under overfladen vil data stadig være forsvarsløst vildt. Datatilsynet ør bare ikke sige blankt "nej" - og så længe de kan finde dpå nye kattelemme, kan de udsætte det ubehagelige øjeblik, hvor de skal til at komme efter firmaer, der ikke lever op til GDPR. Og det er jo et vigtigt formål.

Desuden: Kattelemmen indebærer i følge artiklen, at data så kan sendes i klartekst. Jeg troede, at disse persondata ALDRIG måtte sendes i klartekst - heller ikke indenfor EU? Er det ikke uanset hvad noget forfærdeligt juks at gøre? Eller foregår det i lukkede kredsløb/systemer, hvor tilfældige it-medarbejdere ikke kan få fingre i dem undervejs, a pro pos dagens historie om it-medarbejders snagen i tusindvis af sundhedssjournaler?