Forrige fredag udbrød der en jubel i kontorlandskabet hos Kommunernes Landsforening (KL), for medarbejderne havde lige fået en glædelig nyheds fra Bruxelles.
Ursula von der Leyen, formand for EU-Kommissionen, havde været ude og sige, at EU er kommet i mål med en principiel aftale om persondataoverførsler til USA, og den besked har kommunerne ventet meget længe på at få.
ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder.
Få 3 ugers gratis prøveabonnement. Betalingskort er ikke påkrævet, og du bliver ikke flyttet til et betalt abonnement efterfølgende.
Du kan også få tilsendt et tilbud til dig.
- emailE-mail
- linkKopier link
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Pernille Jørgensen siger:
"Det er i alles interesse, at den her aftale kommer på plads"
Det er IKKE, og vil formodentlig aldrig blive, i borgernes interesse at der flyttes dataadgang til USA.
Der er masser af mennesker, som mener at man skal følge loven, i modsætning til KL.
Hvor ville det dog være dejligt, hvis der faldt straffe til myndighedsfolk, som blæser på landets love.
Hvis man et øjeblik glemmer GDPR, så kunne man stille spørgsmålstegn ved hvor smart det er at være afhængig i så høj grad af US, og i det hele taget give dem så meget data uden vi har ligeså meget af Deres. På chip siden har EU indset at vi har et problem. Her har vi i det mindste EUV tech som gør at vi har noget at handle med.
Det gik jo rigtig fint med at være afhængig af gas fra Rusland ;-)
Der er altså flere gode grunde til at den aftale ikke nødvendigvis behøver at blive til noget, men vi skal jo være overfor vores allierede.
Glemte KL... Suk!
Hvorfor er det kun cloud, man snakker om i denne forbindelse? Se f.eks. denne angiveligt "nødvendige" cookie på sst.dk:
Service: Amazon Web Services Formål: Understøtter websitets tekniske funktioner. Privatlivspolitik: https://www.amazon.com/gp/help/customer/display.html?ie=UTF8&nodeId=508088&ref_=footer_couUdløb: Session Navn: AWSELBCORS Udbyder: 26972.global.siteimproveanalytics.io
En ting er, at sst.dk ikke mener at kunne kære uden denne cookie (hvorfor?) - men når man læser den privatlivspolitik, som man altså som besøgende på sst.dk tvinges til at acceptere via sst.dk's cookiesamtykke, så giver man jo simpelthen Amazon carte blanche til at hente og gøre hvad som helst med den pågældende brugers data. Så disse data ryger vel - via Amazon - til USA, hvor de anvendes til diverse privatøkonomiske og potentielt efterretningsmæssige formål? Så hvorfor bliver der ikke slået meget hårdt ned på offentlige hjemmesider, der anvender sådanne vampyr-cookies?
Der ligger også cookies fra TwntyThree og Microsoft, med tilsvarende helt uignnemskuelige privatlivspolitikker - som dog, i hvert fald for Microsofts vedkommende, indbefatter indsamling af brugerens data til marketingsformål.
Hvorfor gribes der ikke ind? Og har dette problem overhovedet noget at gøre med, om data ryger til USA eller ej - eller er disse cookies ikke simpelthen ulovlige at tvinge folk til at acceptere på offfentlige hjemmesider, som man kan være nødt til at benytte - USA eller ej?
Hvorfor gribes der ikke ind?
Fordi brugen af Siteimprove ikke er dømt ulovlig af en dansk domstol. Hvordan udleder du, at Amazon får adgang til Siteimproves brugerdata?
Martin Høgh:
Amamzon får adgang til data fra Amazons egen cookie, AWSELBCORS, går jeg ud fra. Og der henvises i cookiesamtykket til Amazons privatlivspolitik. Hvis jeg misforstår dette, må du gerne forklare, hvad Amazon gør i denne sammenhæng? Hvad skal Amazons privalivspolitik i forbindelse med denne cookie?
Siteimprove henviser til, at de anvender Amazon Web Services, og henviser til Amazons privatlivspolitik:"Amazon Web Services (AWS) Siteimprove relies on the Amazon and its services offered from Frankfurt, Germany. AWS (Amazon Web Services) is a multi-certified data center provider, including certifications like ISO 27001:2013(Information Security) and SOC 1, 2 and 3. Further information about AWS can be found on the Privacy Policy and in the AWS official website."
Så det.......er i sidste ende Amazon, man tvinges af sst.dk til at donere sine data til...
Så det.......er i sidste ende Amazon, man tvinges af sst.dk til at donere sine data til...
Så disse cookies burde vel ligge under for samme problemer ift. galop over Atlanten, som cloud-leverandørerne?
AWSELBCORS cookien bruges til at skabe en "sticky session" i load balanceren. Den sættes ikke af AWS men af det site, som anvender AWS load balancer. Det er en teknisk cookie, som sikkert er nødvendig. Jeg bemærker også, at Siteimprove anvender AWS' datacenter i Frankfurt, så data forbliver i EU. En mere generel betragtning: Hvis en service anvender AWS, Azure eller anden cloud-udbyder, så betyder det ikke, at servicen helt eller delvis overfører rettigheder til cloud-udbyderen (hvilket vil være ret vanvittigt). Cloud-udbyderen agerer databehandler for servicen, så derfor henvises der normalt til behandlervilkår hos cloud-udbyderen.
Men hvad Siteimprove gør med indsamlede data siger alt dette ingenting om. Her skal du nok læse vilkår hos Siteimprove
Tak for svar, Martin Høgh.
Hvad laver Amazons privatlivspolitik så i den sammenhæng? For det er den, man siger "ja" til. Og mig bekendt er det ejerforholdet, ikke geografisk placering, der afgør, om data er sikre ift. NSA.
Jeg tror, at det er ment som en slags serviceoplysning indbygget i cookie-accept softwaren. En sjov detajle er, at der ikke linkes til AWS, men til online-butikken Amazon.com, hvilket jeg tænker er en fejl. Men bemærk også, at fx Microsoft, ASP.NET er listet under cookies og der linkes til Microsoft' vilkår. Det er fordi sitet bruger Sitecore CMS (også link til vilkår), som er skrevet i .NET. Men i denne sammenhæng er disse vilkår ligegyldige. Så jeg tror ikke, at du accepterer alle disse vilkår, når du klikker accept til cookies. Det giver simpelthen ikke mening. Det betyder under alle omstændinger ikke, at Amazon, Microsoft, Sitecore og alle de andre listede har adgang til data fra sst.dk
Tak for svar, Martin Høgh. Men jeg tror ikke, du har ret. Jeg tror, at Siteimprove benytter AWS, og at Siteimprove derfor er nødt til at bede besøgende på siden om tilladelse til at lade Amazons cookie samle og bruge disse data. Jeg tror, at der - hvis det skulle være sandfærdigt, det cookie-samtykke - også burde være henvisning til Siteimproves privatlivspolitik. Altså en dobbeltwhopper. Så fejlen er, at der ikke er link til Siteimproves privatlivspolitik.
Hvem formulerer i øvrigt disse cookie-samtykker? Hvem er ansvarlig for, at oplysningerne i dem er sandfærdige? Er det ejeren af hjemmesiden, eller ejeren af cookien? I mine øjne burde begge være ansvarlige, for ellers gemmer de sig bag hinanden.
Uanset hvad: Hvis du har ret i, at det bare er en fejl, at der henvises til Amazons privatlivspolitik, så er det jo også dybt problematisk, for som bruger har man behov for/krav på sandfærdige oplysningerne om, hvad ens data stjæles til.
Og ja - jeg siger "stjæles". For denne cookie gemmer sig altså under "Nødvendige", hvor brugeren med fuld ret kan forvente, at der ikke ligger cookies, som i det skjulte høster data til techgiganternes totalovervågning og marketing- og andre formål. Det er jo helt vildt, at offentlige hjemmesider på den måde tvinger borgerne i favnen på techgiganterne.
Jeg har via længere skriverier med sst.dk nu fået dem til at fjerne cookies fra facebook og LinkedIn, som gemte sig i "marketing-cookies". Hvorfor skal de overhovedet ligge der? Det krævede jeg svar på, og truede med anmeldelse til Erhvervsstyrelsen. Jeg fik så forleden - efter forsøg på bortforklaring fra sst.dk's side - dette svar (uddrag):
"Sundhedsstyrelsen kan oplyse, at vi på ny har gennemgået vores brug af cookies fra LinkedIn og Facebook, og vi er nået frem til, at vi – i forhold til den måde, vi benytter cookies fra både LinkedIn og Facebook – ikke har tilstrækkelig gavn af den viden, vi får om trafik mellem de respektive platforme og sst.dk. Vi har derfor valgt at fjerne de cookies, som vi har benyttet fra LinkedIn og Facebook. "
Sst.dk har altså helt bevidstløst bare oprettet "virksomhedssider", som har hjulpet LinkedIn og Facebook med deres markedsføring. Hvorfor? De har ikke anet, hvad de skulle bruge dem til. Det er noget svineri.
Man kan ikke overkomme at bekæmpe alle cookies på en gang - ikke en gang dem på sst.dk - så nu har jeg bedt om forklaringer og aktliste vedr. Amazons cookie, og har desuden anmeldt sst.dk til Erhvervsstyrelsen, da jeg mener, at denne cookie er ulovlig, da den sender borgernes privafe data til USA - et usikkert 3. land.
Og som du selv skriver: Amazons er ikke den eneste - Der ligger også Microsoft m.fl. Men man skal jo starte et sted, og lige nu er jeg i gang med at stille sst.dk til regnskab. Denne side har jo haft voldsom trafik i forbindelse med corona-krisen, og det er noget svineri, at man udnytter dette til at agere gratis åleruse for techgiganterne.
Dette er bare starten på mit korstog. Jeg kommer til hen ad vejen (det tager lang tid) at stille sst.dk til regnskab for de øvrige snagecookies også, for det er en falliterklæring, at det offentlige ikke kan finde ud af at lave en hjemmeside, somikke sælger deres borgere til stanglakrids til tech-giganterne.
Og hvis du skulle have ret i, at det er en fejl, at det er Amazons privatlivspolitik, der linkes til (det tror jeg ikke), så er det bare endnu et eksemel på, hvor råddent dette område er, for cookie-samtykker er jo bindende juridiske dokumenter, som man tvinger/lokker borgerne til at skrive under på - de skal tale sandt!
Det er en fejl, at der linkes til amazon.com og ikke aws.amazon.com. Det er to forskellige ting. Det kun domænerne sst.dk og siteimproveanalytics.io, som sætter cookies, når du besøger sst.dk. Et godt råd: undersøg hvordan cookies teknisk fungerer. Du er på en vild gåsejagt som de siger derovre
Tak for svar, Martin Høgh.
Som du ser på de andre eksempler, jeg giver, så er det en udbredt cookie-praksis, at også "nødvendige cookies" kræver tilladelse til alverdens brug og misbrug af dataene. Så uanset om det er en fejl mht. AWS, så er der masser af andre lignende eksempler i "Nødvendige" på sst.dk.
Jeg vil meget gerne læse persondatapolitikken for aws.amazon.com, men den kan jeg ikke lige finde (læg gerne link, hvis du har det) - det er ikke rimeligt, at man som bruger skal bruge timer på at rode sig frem til den slags. Men mit gæt er, at der står nogenlunde de samme ting i de betingelser, som i Amazons. Og AWS er jo åbenbart et cloud-foretagende, så uanset hvad må det jo være ulovligt iht. GDPR at tvinge brugerne til at give adgang til AWS, da data ikke kan sikres i en amerikansk ejet cloud.
Der ligger også denne:
Service: LogMeIn Formål: Bruges i forbindelse med visning af vaccinetæller og Anbefalinger for hurtigtest. Privatlivspolitik: https://www.goto.com/company/legal/privacy/internationalUdløb: Session Navn: netlify Udbyder: netlify.com
Hvis man forsøger at læse dette cookie-samtykke, forekommer det også tydeligt, at de sender data over atlanten.
Og der ligger en "Cookie Information" -cookie:
Service: Cookie Information Formål: Understøtter websitets tekniske funktioner. Privatlivspolitik: https://cookieinformation.com/cookie-and-privacy-policyUdløb: et år Navn: CookieInformationConsent Udbyder: sst.dk
Hvis man forsøger at læse dennes privatlivspolitik, opdager man, at denne cookie er fra "Cookie Information A/S", som også høster data til diverse formål, herunder marketing. Hvorfor skal den have lov til det under "Nødvendige" på sst.dk? Og ikke nok med det - den ligger et helt år, hvor den åbenbart ligger på ens computer og snager?
Konklusion: sst.dk blæser højt og flot på GDPR, og selv i "Nødvendige cookies" gemmer de åleruser til techgiganternes datasnylteri, som borgerne ikke har mulighed for at undgå.
Hele sst.dk's cookiepolitik forekommer mig at være én stor gang svineri. At det måske er ligeså slemt på mange andre offentlige hjemmesider, gør det bare endnu værre.
Det er iøvrigt også godt at vi har dygtige jurister der kan finde huller i lovgivningen så man undgår at de virker efter hensigten.
Det er iøvrigt også godt at vi har dygtige jurister der kan finde huller i lovgivningen så man undgår at de virker efter hensigten.
Det handler jo netop om at tilvejebringe et aftalegrundlag, så overførelse af data kan ske lovligt. Udmeldingen fra Ursula von der Leyen er godt nyt.
Du skal kun trykke en gang på udgiv, selv om det ser ud som om serveren har ignoreret dit indlæg. Hvis du går ind fra en anden browser end den som du brugte til at udgive kommentaren, vil du se at der ligger et antal (fuldstændig ens!) kommentarer svarende til det antal gange du har klikket på udgiv. Det har muligvis et eller andet at gøre med at debatten er trådet, hvad det så end betyder.
Dejligt, det vil udrette mirakler for mine Microsoft aktier.
"Vi har nu i 2 år brudt loven i håb om tilgivelse - med glæde kan vi nu konstatere at vores ageren bliver lovlig inden for de næste par år. Derved kan vi forhåbentligt ignorere de sidste års lovbrud"
Sørgeligt.
Skønt, at Schrems II problemet snart er løst. For selvfølgelig skal myndigheder i EU kunne bruge amerikanske cloud-services, da alternativer med samme kvalitet og pris simpelthen ikke findes. Kæmpe lettelse!
Det er langt fra "skønt". Det er pinligt.
Som den opmærksomme og retskaffende læser har bemærket, så er der hverken en aftale på plads, så intet at klappe i hænderne om, ej heller er det sikkert, at der overhovedet kommer en aftale på plads.
Den aftale, der så - muligvis - laves, er så heller ikke sikret mod at den bedrevidende EU-borger eller non-profit organisation, som ser skævheder i aftalen. Schrems og NOYB sidder heldigvis klar.
Når man så har dykket lidt længere ned i sagen, kan man se, at USA har været uvillig at ændre det nødvendige fra deres ende af, og ligeledes har EU (heldigvis) nægtet at gå ned på principperne og beskyttelsesniveau. Så jeg tror næppe, der - hvis overhovedet - kommer en aftale på plads inden for dette år, måske ej heller i næste.
Så skal man derudover huske, at der - selv hvis der kommer en aftale på plads på et eller andet tidspunkt - ikke vil være meget nytte i en Executive Order, som kan slås ned af kongressen og ikke som så er lovgivning. Måske kan det gå an, fordi retstraditionerne er lidt anderledes i USA, men jeg synes det bliver en lang pærevælling af executive orders, alt fra EO 12.333, CLOUD act, og hvad der ellers kan være, i stedet for at der er forankring i lovgivningen. Men jeg vil ikke kloge mig på fordele og ulemper i den tilgang, jeg er bare bekymret at der igen er huller i gummibåden over atlanten...
Men nej, skønt er det her ikke virkeligt. Det meste af erhvervslivet ser ikke ud til at have lært noget som helst, og ser ud til at fortsætte hovedløst som før. Og problemet fortsætter med skæv konkurrence, uvidenhed om it-potentialet i Europa, afhængighed af store IT-kæmper og fremherskende mangel på interesse for brugernes/individernes grundlæggende rettigheder.
Og sørgeligt, at man ikke kan forestille sig "alternativer med samme kvalitet og pris". Prøv at spørge dig selv, Martin Høgh, hvorfor det mon ikke findes, og hvem der profiterer af at vi binder os it-mæssigt til virksomheder udenfor vores erhvervsmæssige eller juridiktionsmæssige rækkevidde...
Konkurrence mellem Europa og USA er netop ikke skæv. Europa har bare ikke formådet at følge med USA og Kina. Man kan frygte, at EU vil forvride konkurrencen gennem lovgivning, men udmeldingen fra Ursula von der Leyen tyder anderledes. Så forståelig juble fra KL og erhvervslivet:)
Det er ikke et "Schrems II problem" og det har det aldrig været. Problemet er at den amerikanske regering og de amerikanske tech-firmaer, er flintrende ligeglade med EU-borgernes grundlæggende rettigheder. En mere passende betegnelse ville være at kalde det "USA-problemet".
Forøvrigt findes der masser af etiske og lovlige alternativer. Det kræver naturligvis at man kigger efter dem.
Der er et lille svagt farveskift på 'Udgiv'-knappen (den bliver lissom blegere, når man trykker på den), men det er tydeligvis ikke nok.
Jeg vil anbefale at du - eller er andet medlem af IDA - skriver til redaktionen om problemet - foreslå at knappen skifter farve (til rød[1]) eller tekst, når der trykkes på den.
[1] rød kolliderer vist med grøn, så tekst er nok bedre, fx 'Udgivet'?
Man ved jo snart ikke om man orker gentage det åbenlyse, men uden en signifikant lovændring og en total kovending fsva. praksis med håndtering af persondata i USA, så kan der ikke laves en gyldig aftale.
KL har jo desværre i flere år anbefalet kommunerne at sende borgernes allermest følsomme data i hænderne på de amerikanske efterretningstjenester, også efter Schrems II-dommen. Det er naturligvis svært for KL at indrømme at de har prioriteret den amerikanske regerings interesser over de danske borgeres, så de bliver nødt til at fortsætte i samme spor.
KL har mistet deres troværdighed på dette punkt, så lad os håbe at kommunerne har lært lektien: Glem hvad den amerikanske regering/KL siger og følg jeres mavefornemmelse. I kommununerne ved man godt hvad der er rigtigt og hvad der er forkert. Og ingen aftaler kan standse misbruget. Kun ved at kommunerne opfører sig etisk og altså bruger danske/europæiske cloud-løsninger uden bånd til amerikanske virksomheder, kan de opfylde deres forpligtelser over borgerne.
Og så lige til sidst en lille påmindelse (til Pernille Jørgensen og co.) : Det gælder om at FORHINDRE at personoplysninger falder i de forkerte hænder, ikke at finde et midlertidigt juridisk smuthul at gemme forbrydelsen bag. Det er IKKE svært det her!
Sorry - der er vist klumper i nettet i dag....
Vi er til grin! Simpelthen til grin!
Det er i hvert fald mest sandsynligt, at man endnu engang forsøger at bøje lovgivning og aftaler efter diverse gruppers cloud-behov, end at man faktisk har fundet en løsning, der beskytter borgerne mod datavampyrer af enhver art - økonomiske eller efterretningsmæssige.
»Når den så er skrevet, har man jo et overførselsgrundlag, der gør, at USA umiddelbart er et sikkert tredjeland at overføre data til. Og så er problemerne løst.«
Tilsæt selv sommerfugle og lyserøde ponyer.