Microsoft bøjer sig for Schrems II: Data kan blive i EU

EU sky
Illustration: Iskra Denkova. Se større version
EU Data Boundary skal give cloud-kunder mulighed for at behandle og gemme alle data i EU. Det tekniske grundlag vil ligge klart i slutningen af 2022.
6. maj 2021 kl. 15:24
errorÆldre end 30 dage

Microsoft har torsdag meddelt, at virksomheden vil tage et nyt skridt for at komme de nye strikse EU-regler om datatilgang i møde.

et blogindlæg skriver firmaet:

»I dag annoncerer vi et nyt løfte til EU. Hvis du er kunde i den kommercielle eller offentlige sektor i EU, går vi ud over vores eksisterende forpligtelser om datalagring, og giver dig mulighed for at behandle og gemme alle dine data i EU. Med andre ord behøver vi ikke at flytte dine data uden for EU. Denne forpligtelse gælder på tværs af alle Microsofts kerne-skytjenester - Azure, Microsoft 365 og Dynamics 365. Vi begynder straks at arbejde på dette tilføjede trin, og vi vil gennemføre implementeringen af alt det tekniske arbejde, der er nødvendigt, ved udgangen af næste år. Vi kalder denne plan 'EU Data Boundary for Microsoft Cloud.'«

Det fremgår af en side med 'ofte stillede spørgsmål', at EU Data Boundary fra slutningen af 2022 vil tage yderligere skridt til at minimere overførsler af både kundedata og personoplysninger uden for EU.

Få fuld adgang til ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder. Få tilsendt tilbud

Abonnementsfordele
vpn_key
Fuld adgang til ComplianceTech
Alt indhold på ComplianceTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
Debatten
Log ind for at deltage i den videnskabelige debat.
settingsDebatindstillinger
#1
Dennis Benneballe Arnold-Grade
11. maj 2021 kl. 09:37

Det er da rigtig fint, at Microsoft prøver noget. Men det er da ikke nok!?

Er Microsoft stadig en amerikansk virksomhed? Ja. Er Microsoft stadig underlagt FISA 702 fordi de er kategoriseret som* electronic communication service provider*? Ja. Skal Microsoft stadig udlevere data til efterretningsmyndigheder i USA ved en FISA-anmodning som udelukkende er godkendt af amerikanske juridiske instanser, men ingen europæiske? Ja. Selvom Microsoft prøver at offentliggøre nogle af disse FISA-anmodninger, vil der så ikke stadig være nogle datatræk ud af EU, som Microsoft har fået besked om at hemmeligholde, mens ingen europæisk myndighed bliver notificeret, for ikke at tale om den registrerede/dataansvarlige selv, hvis data bliver ulovligt overført til USA vha. Microsoft? Ja.

Så, hvad skal dette nytte? “Microsoft bøjer sig for Schrems-II” - nej det gør de bestemt ikke. De bøjer sig for FISA 702 og EO 12333, hvilket vil have prioritet over europæiske ønsker om fuld transparens og kontrol, samt retssikkerhed (hvilket vi europæiske borgere heller ikke har på samme måde, da europæiske borgere ikke har ret til at stævne overvågninger i FISA-court), og alle de andre europæiske garantiert forbundet med privatlivsbeskyttelse, som stammer fra EU Charteret for Menneskerettigheder, EU Charteret for Grundlæggende Rettgiheder, GDPR, etc.

»Vi implementerede supplerende foranstaltninger efter Schrems II-beslutningen, for yderligere at understøtte overholdelse af dataoverførsler, som vi mener opfylder og går ud over, hvad der kræves af Schrems II-beslutningen.

De supplerende foranstaltninger, som yderligere er forklaret i et udkast til anbefalinger udgivet af EDPB, Recommandations 02/2020 (en vejledning til, hvad “supplerende foranstaltnigner” rummmer, og som stadig er til høring), er jo ikke defineret ordentligt endnu. EDPB lægger op til at “data in the clear” ikke gives i hænderne af amerikanske virksomheder som underligger FISA 702 (hvis der er tale om at data forbliver på EU-servere fra electronic communication service provider) eller EO 12333 (hvis data i behandlingen flyttes over til servere i Amerika).

Ja, selvfølgelig kan EDPB ændre i deres anbefalinger (Recommandations 02/2020), eller EU-kommissionen finder på en ny aftale med USA om tredjelandsoverførsler, en “privacy shield afløser” om man vil, som jeg har hørt kilder fra Datatilsynet berette om er under udvikling og snart klar til offentliggørelse. Men så længe de europæiske garantier ikke er bevaret, og der stadig er hemmelige dataoverførsler ud af EU, hhv. hemmelige datatræk igennem electronic communication service providers i og udenfor EU’s grænser, nytter det ikke noget at AWS, Microsoft, etc. begynder på juridiske krumspring, sikkerhedsmæssige smoke & mirrors og desparat prøver at argumentere for en “risikobaseret tilgang” - en tilgang, som ikke tager højde for den manglende retssikkerhed i USA for EU-borgere, og som kun fungerer, hvis man faktisk kender til dataanmodninger (nemt for virksomheder som Microsoft at tænke ind i deres risikovurdering, men yderst svært for Microsoft-kunderne).

Jeg ser stadig kun få løsninger i den her sag - løsninger, som ville løse problemets rod:

  1. USA ændrer deres lovgivning til at tage højde for “non-US-citizens”, og åbner op for en mere transparent tilgang til anmodninger om overvågning. Dvs. at USA giver EU-borgere ret til at stævne overvågning af deres person, samt at anmodninger ikke kun godkendes af US-myndigheder, men også af en repræsentant af det enkelte lands efterretningstjeneste el. lign., så nogen inden for EU’s juridisktion godkender anmodningernes proportionalitet og nødvendighed, samt logger disse anmodninger, så EU-borgere efterfølgende kan blive underrettet, når sagen som ligger til grund for overvågningsanmodningen er færdigbehandlet.
  2. Virksomhederne ændrer deres organisation til ikke at være knyttet så tæt til USA - enten ved at EU-borgeres data ligger i datacentre, som ikke kan ejes, købes eller driftes af amerikanske virksomheder som falder under FISA 702, dvs. electronic communication service provider, eller ved at der åbnes nye selskaber helt uden tilknytning til amerikanske virksomheder, hvis eneste opgave er at formidle dataoverførsler til amerikanske virksomheder.