CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Danske virksomheder og organisationer er i et datamæssigt limbo

Siden Schrems II-EU-dommen i 2020 har det ikke været lovligt at overføre ukrypterede data til cloududbydere i USA. Blandt andet fordi der er risiko for masseovervågning.

27. juli 2022 kl. 07.42

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Lige nu venter vi på et udspil fra EU-Kommissionen, men Max Schrems klager videre, hvilket blandt andet har betydet, at Google Analytics indtil videre er dømt ude i Frankrig og Østrig. At vi lever i en verden, der er i hastig forandring, vil de fleste nok skrive under på.

Eksempelvis har krigen i Ukraine for så vidt angår risikoen for at blive hacket betydet et markant øget fokus på datasikkerhed, men også når det gælder noget så forholdsvis enkelt som, hvor en virksomheds data kan og må gemmes, ser det meget anderledes ud end tidligere. Det skyldes den såkaldte Schrems II-dom, der blev afsagt af EU-Domstolen i sommeren 2020.

Årsagen er, at den EU-US Privacy Shield-ordning, der indtil da dannede fundamentet for udveksling af data mellem et EU-land og USA, blev erklæret ugyldig.

Siden har der, på trods af at Det Europæiske Databeskyttelsesråd i november 2020 kom med en række anbefalinger til sikker dataudveksling, hersket en del forvirring på området. Det har i bund og grund efterladt erhvervslivet i en situation, hvor man så at sige har trådt vande.

Afventer nyt udspil fra EU

Rygterne vil vide, at EU-Kommissionen er på vej med et udspil til at løse problematikken. Det skulle ske hen over sommeren, men hvornår – og om – vi ser et udspil, vides ikke. Det har helt konkret betydet, at eksempelvis Københavns Kommune grundet Schrems II-dommen indtil videre har suspenderet udflytning af systemer med persondata til Microsofts cloudløsninger.

Man har ønsket at afvente en cloudvejledning fra Datatilsynet. Den er nu kommet her i foråret, men når det gælder kryptering, som er et af de væsentlige fundamenter for sikkerhed, er der ikke den store hjælp at hente.

Selvom der godt nok står i vejledningen, at ”Det er ikke afgørende, om det er dig som den dataansvarlige eller din cloud­leverandør, der træffer de supplerende foranstaltninger, forudsat foranstaltningerne er effektive.”

Unik EU-beskyttelse er årsag til problemerne

Amerikanske myndigheder kan forlange at se data lagret i USA – uanset om disse data ejes af europæiske selskaber eller privatpersoner.

I Europa har vi en unik beskyttelse i EU’s Charter om menneskerettigheder, der sikrer EU-borgere bedre end borgere i resten af verden. Især set i relation til USA er udfordringen, at den amerikanske lovgivning FISA 702 (Foreign Intelligence Surveillance Act) giver ret til at kigge ind i, hvilke persondata cloudleverandører i USA har liggende.

Executive Order 12333 gør det desuden muligt for NSA (den amerikanske sikkerhedsstyrelse) at få adgang til oplysninger, der er i transit. Det sker gennem adgang til de transatlantiske kabler og ved at indsamle samt opbevare disse oplysninger, før de når til USA og bliver undergivet FISA’s bestemmelser.

Den såkaldte Cloud Act giver endvidere amerikanske myndigheder ret til at anmode amerikanske virksomheder om at udlevere data, uanset hvor i verden de måtte være opbevaret. USA har således aldrig været et sikkert tredjeland, hvorfor EU-US Privacy Shield skulle efterleves.

Når persondata lander i USA, giver FISA 702 altså myndighederne ret til at kigge i disse, og denne masseovervågning er ikke forenelig med EU’s principper om demokrati og menneskerettigheder. EU-borgere kan nemlig ikke gå til en domstol og få prøvet en sag mod de amerikanske myndigheder.

Derfor er data ikke beskyttet tilstrækkeligt, når de lander i et usikkert tredjeland. Dermed er overførslen ifølge EU’s persondataforordning (GDPR) ulovlig. Det gælder dog kun, hvis de amerikanske myndigheder kan se oplysningerne.

Derfor kan en overførsel til USA godt være lovlig, hvis data er krypteret. Men her stopper udfordringerne ikke, for hvis for eksempel Microsoft, Google, AWS eller en anden amerikansk cloudleverandør har krypteringsnøglen liggende, kan de amerikanske myndigheder også kræve den udleveret – og så er vi lige vidt.

Vejledningen konstaterer nemlig videre, at ”Der vil dog være typer af supplerende juratekniske foranstaltninger, herunder navnlig implementering af effektiv kryptering, som kan være vanskelige for cloudleverandøren at træffe.

Det er navnlig tilfældet, hvis leverandøren selv vil være i besiddelse af krypteringsnøglen, hvorved krypteringen ikke vil kunne anses som effektiv.”

Det hedder videre: ”I tilfælde, hvor cloudleverandøren kan træffe effektive foranstaltninger, er det dog fortsat dit ansvar som den dataansvarlige at sikre dig, at de supplerende foranstaltninger, som cloudleverandøren træffer, reelt er effektive og i kombination med det relevante overførselsgrundlag sikrer et beskyttelsesniveau, som i det væsentlige svarer til niveauet i EU/EØS.”

USA har aldrig været sikkert

Et centralt punkt i Schrems II-dommen er, at USA ikke betragtes og faktisk aldrig har været betragtet som et sikkert tredjeland.

følge nyhedsmediet Version2 konstaterer Allan Frank, der er it-sikkerhedsspecialist og jurist i Datatilsynet, at med ganske få undtagelser, for eksempel i supportsammenhæng, er danske virksomheder og myndigheder således afskåret fra lovligt at anvende amerikanske cloudtjenester, der opbevarer ikke-krypterede data i USA.

Som nævnt er der på EU-plan igangsat initiativer til at få løst denne både juridiske og højteknologiske gordiske knude. Man havde håbet at kunne præsentere et udspil, inden vi skrev 2022 i kalenderen, og nu håber man så på, det kan blive hen over sommeren.

Max Schrems har indgivet 101 nye klager. Disse behandles af Det Europæiske Databeskyttelsesråd (EDPB), og indtil videre har både det franske og det østrigske datatilsyn erklæret Google Analytics for ulovlig, forklarer Hening Mortensen, der er formand for Rådet for Digital Sikkerhed.

Men der kan meget vel gå endnu længere tid. Max Schrems er nemlig en herre, der virkelig har gjort det til en mission at klage.

Det hele startede med, at han i forlængelse af Edward Snowdens afsløringer af den masseovervågning, som National Security Agency (NSA) i USA stod bag, klagede til det irske datatilsyn over, at Facebook i Irland havde overført hans personlige data til Facebook Inc. Overførslen byggede på den såkaldte Safe Harbour-ordning, der havde været i brug i en årrække.

I 2015 erklærede EU-domstolen, at den ikke var sikker nok (Schrems I), og det samme skete i så 2020 med afløseren, EU-US Privacy Shield (Schrems II), der ellers rettede op på en række af manglerne.

Max Schrems er imidlertid en meget driftig herre, når det gælder evnen og lysten til at klage. Ifølge Henning Mortensen, der er formand for Rådet for Digital Sikkerhed, har han indgivet yderligere 101 klager for at være helt præcis.

To lande dømmer Google ude

”Disse behandles af Det Europæiske Databeskyttelsesråd (EDPB), og indtil videre har både det franske og det østrigske datatilsyn erklæret Google Analytics (det mest udbredte webanalyseværktøj, red.) for ulovligt,” siger Henning Mortensen.

Om det kommer til at danne præcedens for andre europæiske lande, kan kun tiden vise, men det understreger med al tydelighed, at dataverdenen en rum tid endnu vil være ganske speget og forvirrende for virksomhederne.

Hvis en amerikansk cloududbyder driver et datacenter i et EU-land, er der ingen ko på isen, hvis data forbliver inden for EU’s grænser, men det kan være svært at holde styr på, for eksempel i forbindelse med support, overførsel til koncernforbundne selskaber eller til underdatabehandlere i tredjelande.

Google har forsøgt at implementere yderligere sikkerhed, men tiltagene er altså dumpet hos myndighederne i Frankrig og Østrig.

Det fortæller reglerne i Europa

Borgerne i EU er bedre beskyttet rent datasikkerhedsmæssigt end så mange andre steder i verden. Det sker blandt andet gennem en forordning om databeskyttelse, hvor artikel 45 handler om ”Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet” samt artikel 46, der handler om ”Overførsler omfattet af fornødne garantier”. Desuden kan nævnes EU Charter of Fundamental Rights, artikel 8 om ”Beskyttelse af personoplysninger”.

I dette charter står der:

· Enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.

· Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag.

· Enhver har ret til adgang til indsamlede oplysninger, der vedrører den pågældende, og til berigtigelse heraf.

· Overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.

Hvad vil der ske i Danmark?

Hvorvidt de danske datatilsyn også vil dømme Google ude, er endnu for tidligt at sige, men hvis det sker, er der ikke nogen tvivl om, at det vil ramme dansk erhvervsliv hårdt. Det er i hvert fald udmeldingen fra såvel Dansk Erhverv som Dansk Industri. Samtidig har eksperter i persondataret opfordret danske virksomheder til at begynde at kigge efter lovlige alternativer.

Ifølge Henning Mortensen er det naturligvis ikke kun Google, der lige nu er ramt. Det samme gælder Amazon Web Services samt ikke mindst Microsoft med såvel Azure som Office 365. Det er løsninger, der anvendes flittigt af danske virksomheder og organisationer.

Microsoft har meldt ud, at man inden udgangen af 2022 vil være compliant på alle sikkerhedspunkter. Det kan dog vise sig at være svært, når rammerne ikke kendes endnu.

Måske på vej mod Schrems III

Google er en af de cloududbydere, der ikke bare har datacentre i EU, men ovenikøbet har et i Danmark, nemlig i Fredericia. Så skulle man tro, at alle problemer er løst, men det er de ikke. Det skyldes, at de mange statistik­beregninger, der ligger til grund for funktionaliteten i Google Analytics, sker i USA.

Der findes teknologiske omveje via et sikkert tredjeland, men de vil virke stærkt hæmmende på funktionaliteten i Google Analytics. ”Om EU-domstolen kommer til at afsige en Schrems III-dom, ved vi ikke endnu, og indtil videre vil der herske megen usikkerhed. Selv om cloudvejledningen fra Datatilsynet ikke som sådan løser de aktuelle udfordringer, er jeg dog sikker på, at den kan finde anvendelse i virksomhederne, fordi den på forståe­ligt dansk beskriver udfordringerne,” mener Henning Mortensen fra Rådet for Digital Sikkerhed.

Korrekt beskyttelse eksisterer ikke i dag

Hvad er rigtigt og forkert? Danske selvstændige kan ikke få noget entydigt svar.

Cloud-vejledningen fra Datatilsynet understreger, at en dansk virksomhed skal kende de tjenester, den benytter, dens tredjelandsoverførsler og dens leverandører, og dem skal man føre tilsyn med.

Vejledningen dykker også ned i den problematik, der er gældende i forhold til USA. En mulighed for lovlig overførsel af data til USA kan være at anvende en af EU’s såkaldte standardkontrakter. Men de kan ikke stå alene og kræver supplerende sikkerhedsforanstaltninger.

Disse foranstaltninger kan være af teknisk, organisatorisk eller kontraktuel art, men dermed er sagen ikke klaret, for Datatilsynet henviser til et punkt i Det Europæiske Databeskyttelsesråds (EDPB) anbefalinger til tredjelandsoverførsler.

Rådet, der består af repræsentanter fra samtlige EU’s tilsynsmyndigheder, skriver nemlig, at der i dag stort set ikke findes fyldestgørende tekniske foranstaltning­er, hvis leverandøren i USA skal kunne se data.



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Kenneth Fuglsang Christensen
Kenneth Fuglsang Christensen
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
opinion
Kenneth Fuglsang Christensen
Kenneth Fuglsang Christensen
Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser
Læs indlæg
Artikel teaser billede

Mogens Nørgaard

Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med

Artikel teaser billede

Jonathan Løw

Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?

Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Artikel teaser billede

David Guldager

Guldager: Jeg har bare tre enkle ønsker til min næste bil

Mest læste klummer og blogs
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Klumme: Hvis der er en kollektiv løgn, som nordsjællænderne og djøferne har påduttet os alle sammen, så er det dén med, at løn og dygtighed hører sammen. Selvfølgelig er det komplet nonsens, og vi ved det alle sammen.
Af: Mogens Nørgaard
Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser
Klumme: Det kræver grundige overvejelser, når man som virksomhed skal sikre, at man lever op til lovgivningen fra 1. juli. Det kan måske virke uoverskueligt, når man både skal have styr på it og selve bogføringsprocesserne – især, hvis man ikke har et stort bogholderi. Her kommer tre gode råd.
Af: Kenneth Fuglsang Christensen
Dansk IT: Hvad du som CIO bør vide om AI Act
Klumme: I marts blev EU’s forordning om AI endeligt besluttet. Dele af den træder i kraft til efteråret og resten i løbet af 2026. Men det betaler sig at have en grundig forståelse af de mest betydningsfulde dele allerede nu. Her er fire områder, hvor I bør være ekstra opmærksomme.
Af: Jacqueline Johnson
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion Jacqueline Johnson
Dansk IT: Hvad du som CIO bør vide om AI Act
Læs indlæg

Premium
Teaser billede
Efter exit fra Capgemini: Her er Claus Rydkjærs nye job - får topstilling i svensk milliard-koncern
Læs mere »
AI-bølgen kan sætte CIO’er i en svær situation: Risikerer at blive sat på porten og skiftet ud
Hackergruppe modtog enorm løsesum efter angreb: Nu sælges sundhedsdata på amerikanske borgere alligevel på det mørke net
Apple og Microsoft står overfor to store sejre i EU
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
På tur i BMW's mægtigste elbil: Sådan er livet ombord i en monumental million-ellert
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Taler til sanserne: Den sjoveste elbil, som du overhovedet kan få, ser ud til at blive kinesisk
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Danske CloudNordic går konkurs efter stort ransomware-angreb
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Så meget tjener cheferne i den danske it-branche: Halvdelen får mere end 77.000 kroner om måneden
Se alle »
White paper
Teaser billede
Guide: Sådan udvikler du en moderne netværksstrategi
Læs mere »
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »