Dansk ekspert slår fast: USAs nye dekret har ikke løst cloud-krisen

25. oktober kl. 05:0020
Dansk ekspert slår fast: USAs nye dekret har ikke løst cloud-krisen
Henning Mortensen, formand for Rådet for Digital Sikkerhed. Illustration: Nanna Skytte.
Selvom IT Branchen allerede har været ude og fortælle medlemmerne, at man nu roligt kan sende persondata til USA, er der lang vej endnu, vurderer formanden for Rådet for Digital Sikkerhed. Aftalen kan stadig falde ved EU-Domstolen.
Artiklen er ældre end 30 dage

I fredags annoncerede Det Hvide Hus, at USAs præsident, Joe Biden, har underskrevet det dekret, der skal danne grundlag for den nye Privacy Shield-aftale.

Reaktionerne begyndte hurtigt at pible frem fra brancher, som de seneste par år har haft store udfordringer med at bruge amerikanske tjenester, der kræver overførsel af persondata fra EU til USA, uden en gyldig data-aftale mellem parterne.

Få fuld adgang til ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder.

Få 3 uger gratis prøve abonnement til ComplianceTech. Betalingskort er ikke påkrævet, og du vil ikke blive flyttet til et betalt abonnement efterfølgende.

Du kan også få tilsendt et tilbud til dig.

Abonnementsfordele
vpn_key
Fuld adgang til ComplianceTech
Alt indhold på ComplianceTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
20 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
20
15. oktober kl. 21:25

Hvis interesser varetager IT Branchen?

Hvem betaler Martin Jensen Buchs løn?

Hvis man arbejder med hosting lokalt, eller med europæiske partnere, så må man da føle sig r..rendt.

19
14. oktober kl. 13:58

Måske skulle Version2 høre om hvorfor, at Dansk Industri helt har misforstået sagen?

Google Analytics vil vel ligesom, alt efter løsninger med Chromebook i skolerne, være ulovligt i dag og til næste år, selv med ny Pricacy Shield. Det handler jo om GDPR, ikke om ulovligt indsamling fra de 3 stjernet.

"”Det er virkelig gode nyheder, fordi det kan være en redningskrans for de mange virksomheder, der i sidste uge blev overvældet af Datatilsynets udmelding om Google Analytics,”"

https://www.danskerhverv.dk/presse-og-nyheder/nyheder/2022/september/redningskrans-ny-privacy-shield-aftale-er-kommet-tattere-pa/

8
11. oktober kl. 13:38

Først og fremmest vil jeg bede Louise holde op med at kalde Henning Mortensen for ekspert. Det er altså kun et år siden han prøvede at bilde os alle sammen ind at man nu kunne bruge Microsoft i skyen, fordi de havde lovet at være søde... Mig bekendt skal man dyrke et eller i mindst 10.000 timer, før man bliver ekspert. Henning har lang vej endnu.

Så tror jeg desværre at der bliver lavet en aftale på baggrund af Bidens håbløse dekret. Det er nok det som Henning har luret.

Kommisionen og ikke mindst von der Leyen, har vist sig at være helt i lommen på dem der ejer US big tech (og alt andet...), så der bliver skrevet under.

Det vi nok skal fokusere på er, at få anmeldt så mange 'syndere' som muligt, inden deres to års "helle" bliver forlænget.

Max Schrems skal nok drible den igennem EU domstolen igen, men inden da må vi få stablet et forsvar på benene.

Er der nogen der vil være med til at lave en forening eller et ærligt 'råd' så vi kan få ligeså meget spalteplads som

10
11. oktober kl. 14:17

Så tror jeg desværre at der bliver lavet en aftale på baggrund af Bidens håbløse dekret.

Der skal vel også en risikovurdering til da det netop kun er et dekret, og ikke en egentlig lov det er lavet som? Den næste præsident kan jo på førstedagen blot ophæve dekretet, og så er der pludselig en masse europæiske virksomheder der har data der bliver behandlet i strid med loven.

16
11. oktober kl. 16:27

Ja, det faktum at der er tale om et dekret, er med til at gøre en aftale uholdbar. Et dekret er ikke bare flygtigt, men i det her tilfælde også ret elastisk. Præsidenten kan nemlig lave tilføjelser og undtagelser og holde dem hemmeligt.

Det er generelt en ubrugelig konstruktion, men da de har krammet på EU Kommissionen, så bliver der nok lavet en aftale alligevel. Alle vidste også at de tidligere aftaler ville falde, men de lavede dem alligevel.

14
11. oktober kl. 14:53

Ja, lige præcis! Jeg er sikker på at har har en stor viden om et eller andet, men det er ikke dette emne.

Rådet for Digital Sikkerhed har desuden igennem flere år arbejdet stenhårdt på at fremme de amerikanske udbyderes interesser og medlemslisten taler for sig selv.

Lad nu bare big tech og deres mange ambassadører boltre sig ovre på big techs medie, Computerworld, og lad os fokusere på danske interesser her på version2.

Hvad med at tale med nogle af dem som arbejder med den etiske side af sagen? Der må da være nogen...

7
11. oktober kl. 13:33

Det virker da efterhånden først og fremnest, som om det allervigtigste for tiden er, hvad Herr Schrems synes og mener, således at EU kan blive klar over, hvad de bør og skal mene - og dermed også USA og alle vi andre. Jeg synes desværre at ane en vis underliggende principiel uvilje mod USA, og alt, hvad der i denne forbindelse kommer frs USA, vores vigtigste allierede, som hverken er særlig praktisk eller hensigtsmæssig - og da slet ikke i den nuværende politiske situatuon. Og så er der forresten lige et erhvervsliv og lidt skoler, som ud over de forekommende besværligheder, oven heri obstrueres i deres daglige arbejde af det ene datarelaterede forbud efter det andet. Så for at forsøge at få løst ordentligt op på tingene, synes der efterhånden at være voldsomt stærkt brug for direkte "over bordet" forhandlinger på højt plan mellem EU ig USA, og da gerne med Herr Schrems som deltager, hvis det kan virke befordrende, så den nuværenede forhandlingsmetodik med forslag, efterfulgt af automatiske afslag, afløses af lidt mere konstruktive og velvillige tiltag. Samt i denne forbindele, en, for overhovedet at komme videre, meget nødvendig afstemning af, hvorledes ordet "menneskerettigheder" skal tolkes i disse specifikke sammenhænge, med henblik på en fremtidig gensidig respekt herfor. For husk lige, at hvis en efterretnigstjeneste ikke kan få, hvad den vil have, så tager den det selv, og det kunne måske begrænses lidt på denne måde. Vi lever ikke i en idéel verden, og det kommer vi heller aldrig til, så derfor er pragmatisme og det muliges kunst en nødvendig del af et realistisk livssyn.

15
11. oktober kl. 15:24

Puha, Mikael, med al respekt - der er meget at være uenig i, i dit indlæg...

Først og fremmest så har unge Max Schrems ingen indflydelse i hvad EU (kommissionen) siger og gør. I denne her sag har Kommisionen hele tiden arbejdet for big techs interesser og imod EUs charter. De to tidligere aftaler taler sit tydelige sprog. Vi vidste hele tiden at de ikke ville holde i EU Domstolen, men de lavede dem alligevel. (Det samme kommer til at ske igen.) De har også forsøgt at modarbejde EDBP i det små.

Schrems vinder fordi der ikke kan laves en bilateral databehandleraftale med et land som har en persondatabeskyttelseslovgivning, der ligner noget fra en bananstat. Kun det amerikanske parlament kan gøre en aftale muligt.

Den der med "uvilje mod USA" bliver jeg lidt træt af. Man er ikke "antiamerikansk" bare fordi man ønsker at beskytte danskernes grundlæggende menneske- og borgerrettigheder! De her selskaber som tilfældigvis er amerikanske, de lyver, stjæler, svindler og bedrager. De har samme ejer, som vil gøre hvad som helst for at bibeholde sin forretning med EU-landende, som beløber sig til 7 billioner dollars om året. Hvad vil du gøre for 50 billioner kroner årligt?

Hvis de var ærlige kunne de bare flytte deres hovedsæder til EU, men i EU tillader vi ikke cirkulært ejerskab og folk kunne opdage at de mange investeringsforeninger de gemmer sig bag, bare skal dække over den samme ejerkreds.

Så hvis jeg og alle de som deler mine synspunkter i den her meget lange konflikt skal have en fællesbetegnelse, så må det være anti-kriminelle. Det skammer jeg mig ikke over at være.

Hvis erhversvlivet eller det offentlige, herunder skolerne, føler sig obstrueret i at skulle opføre sig etisk med andre menneskers personoplysninger eller bare at skulle overholde loven, har vi så ikke et helt andet og meget fundamentalt problem? De har altid vidst at data blev misbrugt i hænderne på disse firmaer og de kunne have valgt andre løsninger, men gjorde det ikke. De skal ikke forvente sympati fra min side - de var advaret og de vidste hvad de gjorde.

De her "over bordet" forhandlinger, som du foreslår, er det som resulterer i de her aftaler som domstolene efterfølgende bekræfter er lovstridige. Som sagt, så er der kun én vej frem for de her firmaer - ændre lovgivningen i deres hjemland. (Og det kan de sagtens i USA, hvis de vil.)

Den med at vi skal underkaste os fremmede magters efterretningstjenester, fordi de ellers bare selv tager det de vil have, gør mig ærligt talt deprimeret. Jeg kan kun håbe at du kommer på bedre tanker.

Det du kalder pragmatisme, vil jeg kalde defaitisme.

17
11. oktober kl. 17:02

Du har fuldstændig ret; vi er uenige om meget - formegentligt lige så meget som EU og USA er. Det er en smuk tanke, at ville lave en bedre verden, men desværre ikke mulig, bl.a. fordi der altid er for mange instanser, som har en anden mening, de vil have igennem, hvis nogen virkelig skulle nå frem til et kompromisfyldt, men under de givne omstændigheder brugbart resultet. Så derfor kører en sag som denne jo nok bare videre, som den nu plejer, med Herr Schrems på sidelinien - eller nok snarere angrebslinien. Undervurdér ham ikke. Og lige for at slå det helt fast: Hvad jeg konstaterer om efterretningstjenester har intet med underkastelse eller defaitisme at gøre, det er facts, som man kan forholde sig til eller lade være - hvilket i øvrigt intet ændrer. Og så lige en bemærkning om domstole; de dømmer efter love, som andre har lavet, og det er altså ikke en naturlov, at love altid er formålsdækkende eller fører til objektive eller brugbare afgørelser - i og med at de som regel er et produkt af politik og politikere med mange forskellige dagsordner - og måske lidt opportunistiske en gang imellem.

13
11. oktober kl. 14:27

Uanset hvad der menes om USA, så er deres lovgivning ikke kompatible med EU lovgivning.

Næste spørgsmål er så, om man mener USA eller EU skal ændre sin lovgivning, så de bliver kompatible, eller om begge skal fasthold sin lovgivning og dermed forblive inkompatible...

3
11. oktober kl. 11:22

Der skrives at problemet (kun) vedrører overførsel af persondata fra EU til USA. Det er vel også et problem for en server som måtte stå i Danmark, hvis den er ejet af en amerikansk virksomhed. For så er de forpligtet til at give de amerikanske efterrretningsmyndigheder adgang til data, hvis de ønsker det.?

12
11. oktober kl. 14:21

Med overførelse af data menes ikke kun hvilken server data ligger på, men også hvis data tilgås af medarbejder eller systemer i lande uden for EU.

Så ja, firmaer underlagt USAnsk lovgivning (og sikkert også lovgivningen i mange andre land uden for EU), er forpligtede til at gøre data tilrådighed for personer i deres hjemlande, f.x. efterretningstjenesterne - Det netop underskrevet dekret, ændre ikke på dette punkt, hvilket også er årsagen til, at alle der ikke lever af, at sælge løsninger baseret på platforme ejet af firmaer i USA, siger at Schrems III dommen mod, den nye data aftale er givet...

4
11. oktober kl. 12:27

Som jeg forstår det er det korrekt. Serverens fysiske placering er irrelevant - problemet kommer når bare én af dem der har tilgang til data (på serveren), hører under amerikansk lov - for så kan FISA påbyde dem at hente og dele data uden at fortælle det til nogen.

11
11. oktober kl. 14:17

problemet kommer når bare én af dem der har tilgang til data (på serveren), hører under amerikansk lov - for så kan FISA påbyde dem at hente og dele data uden at fortælle det til nogen.

Netop. Ellers havde vi meget store problemer i Danmark med bl.a. DXC drifts af mainframe m.m. for Skattestyrelsen.

2
11. oktober kl. 09:25

»USA prøver også at lave en proportionalitetsafvejning, men den når bare frem til en anden proportionalitet, hvor de siger: Der er et større anvendelsesområde – eksempelvis terrorisme, gidseltagning, spionage, sabotage, snigmord, masseødelæggelsesvåben, cybersikkerhedstrusler, trusler mod personale og international kriminalitet, herunder finansiel svindel og omgåelse af sanktioner mod eksempelvis Rusland

Det er godt man vil forhindre sådanne trusler. Men hvor ligger proportionaliteten? Hvordan opnår USA adgang/tilladelse til at overvåge en “mistænkt” borger. Der kan sagtens argumenteres for 24/7 overvågning af alle borgere for at forhindre disse trusler. Er det proportionalt? Eller er det mere proportionalt, at der først skal være en mistanke og derefter kræves en dommerkendelse? Hvor stor skal mistanken være? Og i hvilken jurisdiktion skal dommerkendelsen komme fra? Vil man i Danmark mene det var ok politiet selv dømte personer i retten (uafhængig / ikke uafhængig domstol)? Skal der være åbenhed for, at der er blevet udstedt en dommerkendelse?

6
11. oktober kl. 13:13

Vil man i Danmark mene det var ok politiet selv dømte personer i retten (uafhængig / ikke uafhængig domstol)? Skal der være åbenhed for, at der er blevet udstedt en dommerkendelse?

Hvad mener du?

Herhjemme er der så vidt jeg ved, heller ingen som varetager den mistænktes rettigheder. Eftersom dommeren kun tager stilling til det som fremlægges i retten, så er det vist ikke et eksempel til efterfølgelse.

18
11. oktober kl. 20:23

Det var et forkert skriv. Mente mere i retningen af, om vi ville synes det var ok, hvis politiet aldrig skulle bruge en dommerkendelse for at få en ransagning. Og samtidig at vi ikke ville kunne få indsigt i proceduerne og dermed reelt ikke kunne klage over det.

Det var med hentydning til hvad noyb udtalte om "domstolen" der skulle oprettes i USA:

However, this will not be a "Court" in the normal legal meaning of Article 47 of the Charter or the US Constitution, but a body within the US government's executive branch. The new system is an upgrades version of the previous "Ombudsperson" system, which was already rejected by the CJEU. It seems clear that this executive body would not amount to "judicial redress" as required under the EU Charter.

Judgment by "Court" already spelled out in Executive Order. Users will have to raise issues with a national body in the EU, who will in turn raise the issue with the US government. The US government will neither confirm nor deny that the user was under surveillance and will only inform the user that there was either no violation or it was remedied [...] This also makes the option for an appeal useless, as there is simply nothing to appeal about, as long as the user got this rubber stamp answer.

https://noyb.eu/en/new-us-executive-order-unlikely-satisfy-eu-law

1
11. oktober kl. 07:49

"eksempelvis terrorisme, gidseltagning, spionage, sabotage, snigmord, masseødelæggelsesvåben, cybersikkerhedstrusler, trusler mod personale og international kriminalitet, herunder finansiel svindel og omgåelse af sanktioner mod eksempelvis Rusland,«"

Vil det ikke i praksis betyde, at masseovervågningen fortsat vil køre uhindret i døgndrift? Hvornår er der bare et kort tidspunkt på døgnet, hvor der ikke er gang i en eller flere af disse områder i USA?

"»Der er mange penge på spil her, så jeg tror, der skal være virkelig voldsomme indvendinger mod kommissionens forslag, hvis ikke den skulle gå igennem. Jeg tror godt, kommissionen vil løbe den risiko, også fordi det mere er en gråzone nu, end det har været tidligere,« siger han."

Åh ja, det er jo præcis det, man frygter: At det hele er et spil for galleriet, hvor penge i sidste ende kommer til at trumfe menneskerettigheder. Det må bare ikke ske alt for "synligt", men godt skjult bag et figenblad af jurapladder.

BigTech skal nok få sin vilje....Men jeg håber, at Schrems i det mindste kan være en stor sten i skoen, inden vi når dertil.