Personvern og IT-sikkerhet

Litt klokere om Schrems II: Hva nå med skytjenester, epost-servere og Teams?

av | 21. juni 2021 @ 11:32

Litt klokere om Schrems II
Foto: Arek Socha/Pete Linforth, Pixabay. Montasje: Jeanette Høie
Konsekvensene etter Schrems II-dommen er ennå uoversiktlige. Et Litt klokere-møte drøftet Schrems II, servere, svensker og skyen.

Den 11. mai handlet «Litt klokere»-møtet om Schrems II-dommen. Schrems II vil ha konsekvenser for hvordan du og jeg tenker personvern. Nøyaktig hvilke konsekvenser er det få forunt å ha den totale oversikten over.

Som innleder til møtet inviterte tilt.work Eva Jarbekk, advokaten som vet mer enn de fleste om personvern og datasikkerhet.

Denne artikkelen er ment som en omformulert, redigert, og ikke uttømmende, oppsummering av Litt klokere-møtet. Se også video i saken.

Nytt fagnettverk om personvern

Interessen rundt tematikken har vært stor, og vi i tilt.work lanserer i disse dager vårt første fagnettverk, nettopp om personvern og datasikkerhet. Som medlem blir du en del av et unikt nettverk av likesinnede profesjonelle som er opptatt av GDPR, personvern og compliance. Med Eva Jarbekk som fasilitator og nettverksleder blir du fortløpende oppdatert om nye krav og forordninger fra nasjonale og overnasjonale myndigheter.

Early bird-tilbud ved påmelding innen 1. juli. En forsmak kan du få allerede i morgen, 22. juni. Da har vi et nytt Litt klokere-møte om personvern og IT-sikkerhet.


Temaene på Litt klokere-møtet

Samtalene under Litt klokere-møtet 11. mai kretset rundt flere tema etter Schrems II. Noen av dem var:

  • Microsofts uttalelse om at alle europeiske data skal være på servere i Europa. Hvilke konsekvenser har det? Betyr det at amerikanske myndigheter ikke kan kreve data fra Microsoft i Europa?
  • Forskjellen mellom Norge og Sverige i bruk av for eksempel Teams.
  • Hva med epost som en skytjeneste? Hva sier Schrems II om det?
  • Kan en leverandør, for eksempel Microsoft, definere seg bort fra databehandlerrollen?

Data fra Europa skal forbli i Europa

Tidlig i mai lovet Microsoft-sjef Brad Smith at all skybasert informasjon fra europeiske kunder skal lagres på europeisk jord, ikke i USA. Forpliktelsen skal tre i kraft innen utgangen av 2022. (Les også: Microsoft må bygge om Azure for å oppfylle løftet… (krever abonnement))

Men har det egentlig noe å si? Selskapet er fortsatt amerikansk, så hva er da kriteriet for at informasjon ikke skal bli utlevert?

–  Uttalelsen fra Brad Smith er interessant fordi det i min verden er første gang jeg hører eller leser at Microsoft er så tydelige på at de ikke kan beskytte oss mot utleveringsbegjæringer fra amerikanske myndigheter, sa Eva Jarbekk i møtet.

Underlegges Microsoft, eller et annet amerikansk selskap, en utleveringsbegjæring etter FISA 702 eller eo 12333 kan de godt protestere, men selskapene kan ikke være garantist for at utleveringen ikke vil skje. Den som orker å lese alle vilkår på kryss og tvers, vil kunne se at mange tjenester i Microsoft faktisk forutsetter direkte overføringer til USA.

Den demokratiske utfordring

At utlevering av data under visse kriterer bør kunne skje, og at myndigheter skal ha anledning til å overvåke det som skjer på nettet, er til en viss grad ønskelig. Også i et demokratisk samfunn finnes det lover og regler som setter grenser for personvernet. Internett er ikke et rettstomt rom hvor alle kan gjøre som de vil. Vi må leve med at både nordmenn, europeere og amerikanere er underlagt lover og regler som vi må følge.

Uenigheten mellom EU og USA handler om rettsmidlene som finnes for individet til selv å bestride overvåking.

Problemet melder seg i det øyeblikk man ikke får vite at amerikanske styresmakter har kommet med en utleveringsbegjæring rettet mot ditt selskap. Noen av disse begjæringene er underlagt det amerikanerne kaller en gag-order. Det innebærer at Microsoft, eller andre amerikanske leverandører, ikke har lov til å fortelle til kunden eller andre om begjæringen.

Det er her Schrems II-dommen kommer inn. Det handler i bunn og grunn om demokratiske verdier, og demokratiet er skjørt. Schrems II fastslår at dersom myndighetene krever å få utlevert dine data, har du en rett til å vite om det. Og du har en rett til å protestere. Denne protestretten har ikke europeere i USA, antagelig heller ikke i India, og ikke i Kina.

Look to Sweden

Hva så med skytjenester, hvilke alternativer finnes egentlig? Majoriteten av de store skytjenesteleverandørene i verden har hovedkontor i USA, en del har det i Kina og noen ganske få i Europa. Hvilke servere og applikasjoner skal man egentlig bytte til – om man vurderer å bytte?

Litt klokere-møtet konstaterer at, som så mye annet etter Schrems II-dommen, er det ingen svar med to streker under. Men vi kan kaste et blikk i retning Sverige, hvor flere offentlige myndigheter avviser å bruke Teams. De viser til at samtalene de har er sensitive, og da må de ha mer kontroll over dataene enn Teams tilbyr. Her ser vi at svensk forståelse og praksis etter Schrems-avgjørelsen er mer stringent enn i Norge.

Forskjellen er til dels historisk. Det offentlige Norge var tidlig ute og er lang fremme i bruken av skytjenester, tidligere og mer omfattende enn i andre land. Det er flere som nå tar til orde for at vi kanskje har gitt ris til egen bak. Er du først inne i en skytjeneste, er det vanskelig å komme seg ut.

Men finnes det konsekvenser?

Men hva er egentlig konsekvensene av at Privacy Shield-avtalen ikke lenger er gyldig? Får det noen konsekvenser i det hele tatt?

Frem til nå har konsekvensene vært litt ulike. Mange har unngått å inngå nye avtaler, men foreløpig har de store bøtene uteblitt. I andre land i Europa har flere Datatilsyn stoppet amerikanske skytjenester. Det siste året har også det norske datatilsynet vært langt mer frampå. Sanksjoner vil komme, ikke minst gjelder dette tredjelandsoverføringer. Tidlig i mai så vi det ved at Datatilsynet bøtela Ferde for å overføre data til Kina.

Deltakere på Litt klokere-møtet pekte også på at man avventer en Schrems II-uttalelse fra Personvernrådet, som kanskje kan være mer oppklarende. Inntil uttalelsen foreligger er det vanskelig å ta stilling til hvordan man skal forholde seg. Alternativt kan man prøve å finne en europeisk skytjeneste som kun har servere i Europa, og som ikke har databehandlere i for eksempel India eller Ukraina eller hvilket som helst tredjepartsland som ikke et godkjent.

Hva med epost?

En del av debatten på nettmøtet handlet om epost-tjenester. Mange bruker Outlook, noen bruker Gmail. Noe ligger i skyen, noe gjør ikke det. Spiller det noen rolle om man bruker Office 365, som ligger i skyen, eller om Outlook ligger på en lokal server – så lenge det uansett er Microsoft i bakgrunnen? Og hvis man skal bytte, hva skal man bytte til?

Litt klokere-møtet gir ikke fasitsvar, men noen punkter å notere seg er:

  • Bruker man Office 365 og har Outlook i skyen, er man like langt.
  • Bruker man krypteringstjenesten til Microsoft, som er en del av Azure, deler man både nøkkel og det som skal krypteres med Microsoft.
  • Bruker man Gmail, står alle serverne i USA.
  • Bruker man Google Analytics, blir all innsamlet informasjon håndtert i USA.

Det er også en grunnleggende forskjell på å installere Outlook lokalt på en exchangeserver i ditt eget datasenter og å bruke en ekstern skytjeneste. En exchangeserver på ditt datasenter er det du som styrer, mens Outlook i skyen, for eksempel via Azure, er en tjeneste du kjøper av Microsoft.

Kryptering – den gylne mulighet

Litt klokere-møtet diskuterte hvorvidt leverandører har en mulighet til å definere seg bort fra Schrems II. Kan for eksempel Microsoft si at de ikke egentlig er databehandlere fordi de aldri selv ser dataene de behandler? Og vil selskapet da kunne hevde at Schrems II ikke gjelder for dem?

Svaret på dette behøver ikke å være så komplisert. Man kan støtte seg til definisjonene i artikkel 4 i personopplysningsloven. Opererer leverandøren innenfor definisjonene, så er det behandling av data. Men noen områder vil ikke omfattes av definisjonene. I visse tilfeller kan for eksempel kryptering falle utenfor definisjonene.

–  Kryptering kommer til å bli superhot. Den som klarer å lage en smart krypteringsmetode kommer til å avgjøre mye i fremtiden, mente Eva Jarbekk.

Det finnes allerede muligheter til å forsterke plattforminitiert kryptering med en egen administrert kryptering, hvor du selv holder nøkkelen. Utfordringen er at tjenesten blir langt mindre praktisk. En av fordelene ved skytjenester er den høye graden av automatisering. Selv noe så enkelt som en søkefunksjon på tvers av data i egen organisasjon, blir umulig dersom du har jerndører foran alle dataene. Da kan man rett og slett ikke levere søketjenesten. Og hvem vil ha en skytjeneste du ikke kan søke i?

Så langt finnes det ingen «Ja takk, begge deler»-løsning. Du kan ikke ha både fullgod automatisering og doble beslag samtidig.

Utfordringen er dermed gitt.

Jeanette Høie

0 kommentarer

Legg inn en kommentar

Den store ubestillings fryd

Den store ubestillings fryd

Å fylle på med inntrykk uten å gi seg tid til å sortere innimellom opplevelsene, er omtrent like funksjonelt som for hver nye økt å legge rent treningstøy oppå det rå og svette i bagen, og så fyke ut igjen. Det vi drar på, blir både tungt og uhåndterlig etter hvert.

Noen av våre forfattere

676 posts
Paal Leveraas er sjefreflektør og -redaktør i tilt.work og gründer av blant annet tilt work AS, digi.no og Leveraas AS. Ta kontakt med Paal enten du trenger et foredrag, en sparringpartner i ditt lederskap eller en som kan hjelpe deg å få budskapet ut i verden. Eller alt over.
View Posts →
51 posts
Hedvig Rognerud er forretningsutvikler, ledercoach, prosessleder og foredragsholder i Fossekall AS på Lillehammer. Hedvig skriver om språk som lederverktøy for tilt.work.
View Posts →
32 posts
Atle skriver om coaching og kommunikasjon.
View Posts →
24 posts
Bjørn Z. Ekelund er psykolog. Han står bak "Diversity Icebreaker". Han skriver jevnlig for tilt.work, og er en del av ekspertpanelet.
View Posts →
18 posts
Herman Berg er redaksjonssjef i tilt work AS.
View Posts →
12 posts
Tom Georg Olsen skriver jevnlig om ledelse med fokus på tillitsbasert ledelse. Han er konserntjener i Miles, og sitter også i styret i tilt work AS.
View Posts →
12 posts
Thomas Nygaard er daglig leder i tilt work AS. Han er mangeårig leder i forlagsbransjen, hvor han to ganger har eliminert sin egen jobb. Han er blitt ekspert på å omstrukturere virksomheter på en måte som ivaretar verdiene.
View Posts →
12 posts
Hans Jacob Christensen har lang fartstid i norsk og internasjonal HR. Her i tilt.work vil han utforske kjernen i HR, utfordre noen etablerte sannheter i faget og gjerne skape debatt.
View Posts →
11 posts
Walaa Abuelmagd skriver om mangfold i tilt.work.
View Posts →
7 posts
Gerd Jorunns misjon som skribent i tilt.work og Tirsdag morgen har vært å avlive myter om ledelse.
View Posts →
7 posts
Mai-Britt jobber med rekruttering i en internasjonal organisasjon. Hun skriver om rekruttering og ledelse i tilt.work.
View Posts →
6 posts
Jan-Erik Sandberg skriver om hvordan vi kan gjøre mangfold i arbeidslivet til et aktivum. Han lever hva han lærer som "ikke helt A4 selv".
View Posts →
5 posts
Rune skriver om medarbeiderskap.
View Posts →
5 posts
Elin Ulset er en engasjert og nær leder som er levende opptatt av kommunikasjon, ledelse og adferd. Elin har vokst opp i HR-kommunikasjon, både fra Aftenposten, digitale medier og mediebyrå. Hun balanserer det faglige med lederskap, og lederskap med familie, og hun trives godt i alle sfærene.
View Posts →
5 posts
Catherine Lemaréchal eier og driver Ticato AS. Hun er rådgiver og NLP-coach og skriver om kommunikasjon, merkevarebygging og tidsmestring. Catherine kan hjelpe deg å oppnå mer enn du tror du kan. Hun holder kurs og foredrag, og mest populært nå for tiden er kurset: Gi f*** for flinke piker.
View Posts →
5 posts
Ph.d. og professor II Glenn Hole er direktør i IT-selskapet Skill. Han skriver om mangfold i arbeidslivet.
View Posts →
3 posts
Esben Keim driver rådgivingsselskapene Vital Few og OSS. Han skriver om presterende team, resultatledelse/OKR, mangfold og kundefokus her på tilt.work.
View Posts →
3 posts
Jeanette Høie er desksjef i tilt.work. Hun har lang fartstid som journalist og vaktsjef i dagspressen. Hun har godt grep om ulike digitale fortellerteknikker. I tillegg er hun gründer-in-spe.
View Posts →
3 posts
Arne Jensen er generalsekretær i Norsk redaktørforening.
View Posts →
3 posts
Annar er en nestor i norsk lederutvikling med mer enn 30 års fartstid.
View Posts →
2 posts
Isabelle er senterleder for kraftsentret Forandringhuset. Hun er mentor og utviklingsansvarlig for ungdommer i Oslo.
View Posts →
2 posts
Sissel Naustdal leder MadeToGrow og er brennende engasjert i utvikling av menneskers potensial
View Posts →
2 posts
Anne 🌱 Reknes hjelper mennesker med å finne, få eller skape sin drømmejobb, og deler tips, tricks, teknikker, verktøy og metoder her i tilt.work.
View Posts →
2 posts
Christine er kursutvikler og foredragsholder med et stort lærerhjerte og masse kjærlighet til god tekst. Hun driver firmaet Tekstdoktor og underviser i digital markedsføring og journalistikk på Høyskolen Kristiania.
View Posts →
2 posts
Stikkordet for Cathrines arbeid med lederutvikling er "praktisk hverdagsledelse".
View Posts →
2 posts
Ole Kristian Sivertsen er CEO i selskapet Desert Control. Han har lang fartstid fra selskap som Citrix, RES Software, Sun Microsystems, Telenor, EVRY og Global Eagle. I dag har han dedikert seg til teknologi som løser klimautfordringer.
View Posts →
2 posts
Eva Jarbekk er en av våre fremste juridiske eksperter på personvern og GDPR.
View Posts →
2 posts
Jostein Borgmo er til daglig eier og kreativ direktør i Suburbia og har dessuten nesten 80.000 følgere på Instagram.
View Posts →
1 posts
Herminia Ibarra er professor ved London Business School og forfatter av fagbøker om ledelse og organisasjonsutvikling.
View Posts →
1 posts
Umid skriver om tjenende lederskap og selvledelse.
View Posts →
1 posts
Nils Petter Nordskar er tidligere reklamemann. I dag holder han kurs, foredrag og utgir dessuten nyhetsbrevet "Lykkes med ideer".
View Posts →
1 posts
Ingar Roggen er sosiolog og beskrives som en av de europeiske pionerene for sosial informatikk. Arbeidsfeltet omfatter blant annet det sosiale aspektet av det virtuelle rommet, sosial analyse av internett og samspillet mellom menneske og datamaskin. I 1996 introduserte han sosiologien på nettet, websosiologi, som en nettvitenskap.
View Posts →
1 posts
Håkon er opptatt av personlig utvikling, drivkraft og glede. Han er sertifisert NLP Master Practitioner, og skriver og tilbyr tjenester for personlig vekst.
View Posts →
1 posts
Jørgen Lund jobber med endringsledelse gjennom eget selskap.
View Posts →
1 posts
Jan Sollid Storehaug er digital strategirådgiver. Han er også en mye brukt foredragsholder.
View Posts →
1 posts
Bjørn O- Hopland er eier og daglig leder av Smart Endring AS.
View Posts →
1 posts
Kevin er Corporate Storyteller, Content Strategist og Awareness@Work Consultant. Han skriver om nærværingslivet her i tilt.work.
View Posts →
1 posts
Cathrine Foss Stene er en erfaren team- og lederutvikler og har jobbet med og i mange av de største norske virksomhetene.
View Posts →
1 posts
Kari har en bachelor i statsvitenskap med fordypning i menneskerettigheter og flerkulturell forståelse. Hun går nå en modulbasert master i voksnes læring på NTNU. Hun er utdannet NLP Business Practitioner (Kreativ Ledelse og Coaching nivå A) hos UiA/Coachteam.
View Posts →
1 posts
Kathra er COO i oppstartselskapet Generation Mobility samt teamleder i bydel Gamle Oslo.
View Posts →
1 posts
Kristin er partner og markedssjef i MetaResource. Hun beskriver seg som en stolt "potet" som kan mye om mye og ofte finner løsninger eller nettverk som kan bidra. Hun skriver om mentale muskler i hverdagen.
View Posts →
1 posts
Thor Ivar Forsland er coach og karriereveileder hos Frisk Utvikling.
View Posts →
1 posts
Data Scientist med bred, internasjonal bakgrunn.
View Posts →
1 posts
Thomas skriver om tankesett, metoder og verktøy for morgendagens ledere.
View Posts →
1 posts
Jørn Bue Olsen er rådgiver og forfatter i ledelse og etikk Ekon, Dr., siv.ing. og førsteamanuensis ved Oslomet (Etikk og bedriftenes samfunnsansvar). Olsen skrev doktorgrad om etiske dilemmaer for ledere i konkurranseutsatt virksomhet der Hauge-caset er eksempel på kombinasjon av lønnsom verdiskapning og anvendt etikk. Olsen holder foredrag om «Hauge som fyrtårn for norske bedrifter i dag». Utga i 2020 ny bok, «Næringslivsetikk og samfunnsansvar», i samarbeid med Henrik Syse. Leif-Runar Forseth er rådgiver og forfatter innen ledelse, gründervirksomhet og etikk. Han har doktorgrad i teoretisk fysikk og mastergrad i filosofi, tema etikk og lederskap. Ny bok, "Naturlig lederskap", kom i 2020.
View Posts →
1 posts
Jeanette Luytkis er sertifisert profesjonell coach og ledelsesrådgiver. Hun leverer individuelle coaching og treningsopplegg, med spesialisering på lederskap, personlig vekst og innovativ forretningsutvikling.
View Posts →

Tirsdag er A-HA!-dag

Tirsdag er A-HA!-dag

Hver tirsdag siden 2010 har tusenvis av abonnenter fått ukebrevet Tirsdag morgen i sin innboks. Noen blir inspirert, noen blir provosert, mange får en eller flere a-ha!-opplevelser. Meld deg på her. Det er gratis. 

Fantastisk! Sjekk mailen din for en ekstra bekreftelse. Så ses vi på tirsdag.

Pin It on Pinterest

Share This
%d bloggere liker dette: