Organisationerne efterspørger en mere risikobaseret tilgang til databeskyttelse, så der også tages højde for, om amerikanske myndigheder rent faktisk bruger deres ret til at tilgå persondata.
Organisationerne efterspørger en mere risikobaseret tilgang til databeskyttelse, så der også tages højde for, om amerikanske myndigheder rent faktisk bruger deres ret til at tilgå persondata.

Foto : Iskra Denkova

Leverandører giver Schrems II-'garantier': Her er de nødvendige spørgsmål, du skal stille

Brødtekst

  

»If you want a guarantee, buy a toaster,« lyder det tørt fra Clint Eastwood, der i rollen som den benhårde strømer Nick Pulovski skal oplære en ung Charlie Sheen i 90’er-filmen 'The Rookie'.

Men det er ikke kun brødristere, der bliver plastret til i garantier. For tiden gør en række cloud-leverandører ivrige forsøg på det samme som en form for modgift mod Schrems II-dommen, der har gjort overførsler af persondata til tredjelande som USA til en besværlig affære.   

Jesper Langemark, advokat og partner hos Bird&Bird.
Illustration: Bird&Bird

Eksempelvis har både Microsoft og AWS offentligt ytret, at deres løsninger er i fuld overensstemmelse med EU-lovgivningen, for at berolige de nervøse kunder. Men ikke alle får ro i maven af en officiel udmelding fra tech-giganterne. En af dem, der stiller sig skeptisk, er Jesper Langemark, der er er partner hos advokatvirksomheden Bird&Bird.   

»En garanti er ikke altid det papir værd, den er skrevet på,« advarer han. 

»En garanti er juridisk set ret stærk, men det er helt afgørende, hvad der står i den. Man kan godt have en overskrift og en indledning, hvor en cloud-leverandør giver en garanti. Så bliver man glad som kunde. Men når man læser garantien, så kan den vise sig at smage mere af en ansvarsfraskrivelse end en garanti.«

Senest har Amazon (AWS) i et blogindlæg bekendtgjort, at virksomheden ville sætte sig op mod amerikanske myndigheder, der ønsker at få udleveret oplysninger, ligesom virksomheden garanterer, at man vil bestræbe sig på kun at udlevere det absolut nødvendige. 

En garanti, som en række eksperter har dumpet på vores søstermedie Version2

»Man skal ikke forholde sig til betegnelsen eller overskriften, men til selve indholdet af den garanti, man får stukket i hånden. Vi har set garantier fra Amazon (AWS) og Microsoft vedrørende tredjelandsoverførsler, som vi ikke anser for tilstrækkelige. De siger, at de nok skal kompensere de registrerede ved udlevering af deres oplysninger og kun vil udlevere så få oplysninger som muligt. Men hvis garantier skal kunne bruges til noget, skal leverandøren stå inde for lovligheden af mulige overførsler til tredjelande. Det indebærer dels, at man har et lovligt overførselsgrundlag som eksempelvis kommissionens modelkontrakt, men herudover at der etableres nogle supplerende beskyttelsesforanstaltninger, hvis der sker overførsel til tredjelande, der ikke har et tilstrækkeligt beskyttelsesniveau,« fastslår Jesper Langemark, der i sit daglige arbejde er dybt involveret i kontraktforhandler mellem it-leverandører, det offentlige og det private erhvervsliv.

Klar, parat, spørg!

De strikse krav til beskyttelsesforanstaltninger ved dataoverførsler gør det nødvendigt at forhøre sig om en række helt centrale forhold, hvis en leverandør garanterer, at man står inde for lovmedholdeligheden af et cloud-setup.

Det første man i så tilfælde skal afklare er, hvor ens data egentlig bliver ført hen i den fremtidige løsning, siger Jesper Langemark.  

»Så konstaterer man ret hurtigt, at der blandt dem er nogle tredjelande, som ikke har et tilstrækkeligt beskyttelsesniveau. Det kunne være Kina, Rusland – eller USA, som vi ved fra Schrems-sagerne ikke har en lovgivning, der lever op til de essentielle garantier.«

På den baggrund kan man som kunde konstatere, at man i overført betydning har bevæget sig ud i vandet til et godt stykke over navlen. 

For hvis løsningen ikke er bygget op omkring de nødvendige foranstaltninger, er man på et giftigt grundlag. 

»Dernæst skal man spørge sin leverandør, hvilke supplerende beskyttelsesforanstaltninger de har etableret for at beskytte oplysningerne, idet Schrems II-dommen siger, at der i sådanne tilfælde skal noget mere til end blot at skrive under på en modelkontrakt. Her bør man se på de retningslinjer om supplerende foranstaltninger, som Det Europæiske Databeskyttelsesråd (EDPB) har sendt i høring, og som vi stadig venter på at se i en endelig version,« siger Jesper Langemark.

Det meste af branchen har ventet siden juletid på netop de endelige anbefalinger fra Det Europæiske Databeskyttelsesråd. 

Først forventede man på tværs af branchen, at de efterspurgte anbefalinger ville blive udsendt i januar, men her i slutningen af marts venter offentlige myndigheder og private virksomheder fortsat på en afklaring. 

Rygterne forlyder, at vi skal helt hen i de varme sommermåneder, før der sker noget. 

Fokus på teknikken

Selvom verden under pandemien er mere eller mindre lukket ned, er det stadig muligt at få en sang fra de varmeste egne om, hvordan en given løsning, der involverer dataoverførsler til tredjelande, naturligvis er i fuld overensstemmelse med den gældende lovgivning. 

For selvfølgelig har de store leverandører styr på den del. Det er da klart. 

Eller det skulle man i hvert fald tro. Udfordringen er bare, at hvis det var tilfældet, så eksisterede hele problemstillingen slet ikke. 

Kernen i Schrems II-problematikken handler nemlig om, hvorvidt de amerikanske myndigheder kan pålægge virksomheder som AWS, Google og Microsoft at udlevere kundernes data i sager, hvor eksempelvis nationens sikkerhed står på spil. 

Og det kan de, uanset at leverandørerne kan gå op imod de nysgerrige myndigheder og understrege, at de kun udleverer en absolut minimal mængde data.  

En virksomhed som Amazon udgiver to gange om året en rapport, hvor virksomheden offentliggør sin udlevering af data. Ifølge den seneste af slagsen er virksomheden blevet bedt om at udlevere data til amerikanske myndigheder 390 gange i andet halvår af 2020.

Derudover kommer et ukendt antal anmodninger i form af såkaldte 'national security requests', der ikke er medregnet i det tal. 

Det gør det endnu mere afgørende, at man får spurgt ind til, hvordan data er beskyttet. 

»Man ender hurtigt med at fokusere på tekniske foranstaltninger, da organisatoriske, aftalemæssige og fysiske foranstaltninger ikke rigtig hjælper noget, hvis en efterretningstjeneste beder om at få udleveret nogle oplysninger eller selv forsøger at opsnappe dem,« understreger Jesper Langemark og uddyber: 

»Diskussionen kommer derfor hurtigt til at dreje sig om, hvilken krypterings-løsning de tilbyder. Det har alle leverandørerne, men problemet er, at de ofte selv ligger inde med selve krypteringsnøglen for at kunne vedligeholde platformen eller yde support. Man bør derfor sikre sig, at leverandøren ikke selv ligger inde med en krypteringsnøgle, så de kan låse de pågældende data op, hvis der kommer en myndighed og banker på. Ellers er vi ikke i mål.«

Logikken er simpel. Hvad nytter det at låse døren, hvis myndighederne kan kræve at få udleveret nøglen dertil?  

Tæt på mål

Lykkes det for leverandøren under dette tredjegradsforhør at føre bevis for, at data er låst godt og grundigt inde, ligesom leverandøren har også slugt nøglen og umuliggjort udleveringen, så er man godt på vej, lyder vurderingen.   

»Hvis du får en garanti om, at de ikke ligger inde med krypteringsnøglen, så vil jeg mene, at man skal være i positiv ond tro, hvis man skal foretage sig yderligere. Hvis vi har at gøre med nogle fornuftige og ansvarlige leverandører, så vil jeg ikke være bekymret over at forlige mig med den garanti, man har fået. Så mener jeg ikke, at man som kunde behøver gøre mere,« siger Jesper Langemark.

Det er dog helt centralt, at man ikke blot får de fornødne garantier mundtligt overleveret over en kop kaffe med sælgeren af løsningen. 

Det er helt centralt, at man får indlejret de relevante garantier i kontrakten, så garantien ikke fordamper, just som det juridisk set kunne blive nødvendigt at henvise til den. 

Kun et problem

Der er dog fortsat et problem. 

Som oftest vil leverandører i kontraktmæssige sammenhænge meget nødigt have ordet 'garanti' indskrevet i en kontrakt. 

Det er nemlig juridisk set et meget stærkt ord, der pålægger en part et stort ansvar. 

Alligevel ser man altså nu, at de store cloud-leverandører offentligt giver noget, der ligner garantier i forskellige sammenhænge. 

Men som først nævnt er det en udfordring, at hvis man rent faktisk skal have de garantier til at batte, kræver det nogle konkretiseringer af garantien, og den slags er straks sværere at indhente, fortæller Jesper Langemark.  

»Min erfaring er, at det er umådeligt svært. De gange, vi har bedt om det, har vi ofte oplevet, at leverandøren ikke har villet give en garanti – særligt ikke i de her tider, hvor blandt andre Microsoft ikke har besluttet sig for, hvordan de vil indrette sig i lyset af EDPB’s retningslinjer, hvilket man jo godt forstår, da retningslinjerne ikke er endelige endnu,« siger han og fortsætter: 

»I en vis forstand er det lidt verdensfjernt at bede eksempelvis Microsoft eller Microsoft-partneren om at give en garanti for, at Microsoft skal etablere en krypteringsløsning, hvor de ikke selv ligger inde med krypteringsnøglen, da det mig bekendt ikke er en løsning, Microsoft har på hylden.«

Om Microsoft, AWS og Google får den slags løsninger på hylden, når EDPB’s retningslinjer er landet, må tiden vise.