tilt | For deg som jobber i ... | IT | Litt klokere om Schrems II: Hva nå med skytjenester, epost-servere og Teams?

Litt klokere om Schrems II: Hva nå med skytjenester, epost-servere og Teams?

mandag 21. juni 2021 @ 11:32

Konsekvensene etter Schrems II-dommen er ennå uoversiktlige. Et Litt klokere-møte drøftet Schrems II, servere, svensker og skyen.
Av Jeanette HøieFoto: Arek Socha/Pete Linforth, Pixabay. Montasje: Jeanette Høie

Den 11. mai handlet «Litt klokere»-møtet om Schrems II-dommen. Schrems II vil ha konsekvenser for hvordan du og jeg tenker personvern. Nøyaktig hvilke konsekvenser er det få forunt å ha den totale oversikten over.

Som innleder til møtet inviterte tilt.work Eva Jarbekk, advokaten som vet mer enn de fleste om personvern og datasikkerhet.

Denne artikkelen er ment som en omformulert, redigert, og ikke uttømmende, oppsummering av Litt klokere-møtet. Se også video i saken.

Nytt fagnettverk om personvern

Interessen rundt tematikken har vært stor, og vi i tilt.work lanserer i disse dager vårt første fagnettverk, nettopp om personvern og datasikkerhet. Som medlem blir du en del av et unikt nettverk av likesinnede profesjonelle som er opptatt av GDPR, personvern og compliance. Med Eva Jarbekk som fasilitator og nettverksleder blir du fortløpende oppdatert om nye krav og forordninger fra nasjonale og overnasjonale myndigheter.

Early bird-tilbud ved påmelding innen 1. juli. En forsmak kan du få allerede i morgen, 22. juni. Da har vi et nytt Litt klokere-møte om personvern og IT-sikkerhet.

Temaene på Litt klokere-møtet

Samtalene under Litt klokere-møtet 11. mai kretset rundt flere tema etter Schrems II. Noen av dem var:

  • Microsofts uttalelse om at alle europeiske data skal være på servere i Europa. Hvilke konsekvenser har det? Betyr det at amerikanske myndigheter ikke kan kreve data fra Microsoft i Europa?
  • Forskjellen mellom Norge og Sverige i bruk av for eksempel Teams.
  • Hva med epost som en skytjeneste? Hva sier Schrems II om det?
  • Kan en leverandør, for eksempel Microsoft, definere seg bort fra databehandlerrollen?

Data fra Europa skal forbli i Europa

Tidlig i mai lovet Microsoft-sjef Brad Smith at all skybasert informasjon fra europeiske kunder skal lagres på europeisk jord, ikke i USA. Forpliktelsen skal tre i kraft innen utgangen av 2022. (Les også: Microsoft må bygge om Azure for å oppfylle løftet… (krever abonnement))

Men har det egentlig noe å si? Selskapet er fortsatt amerikansk, så hva er da kriteriet for at informasjon ikke skal bli utlevert?

–  Uttalelsen fra Brad Smith er interessant fordi det i min verden er første gang jeg hører eller leser at Microsoft er så tydelige på at de ikke kan beskytte oss mot utleveringsbegjæringer fra amerikanske myndigheter, sa Eva Jarbekk i møtet.

Underlegges Microsoft, eller et annet amerikansk selskap, en utleveringsbegjæring etter FISA 702 eller eo 12333 kan de godt protestere, men selskapene kan ikke være garantist for at utleveringen ikke vil skje. Den som orker å lese alle vilkår på kryss og tvers, vil kunne se at mange tjenester i Microsoft faktisk forutsetter direkte overføringer til USA.

Den demokratiske utfordring

At utlevering av data under visse kriterer bør kunne skje, og at myndigheter skal ha anledning til å overvåke det som skjer på nettet, er til en viss grad ønskelig. Også i et demokratisk samfunn finnes det lover og regler som setter grenser for personvernet. Internett er ikke et rettstomt rom hvor alle kan gjøre som de vil. Vi må leve med at både nordmenn, europeere og amerikanere er underlagt lover og regler som vi må følge.

Uenigheten mellom EU og USA handler om rettsmidlene som finnes for individet til selv å bestride overvåking.

Problemet melder seg i det øyeblikk man ikke får vite at amerikanske styresmakter har kommet med en utleveringsbegjæring rettet mot ditt selskap. Noen av disse begjæringene er underlagt det amerikanerne kaller en gag-order. Det innebærer at Microsoft, eller andre amerikanske leverandører, ikke har lov til å fortelle til kunden eller andre om begjæringen.

Det er her Schrems II-dommen kommer inn. Det handler i bunn og grunn om demokratiske verdier, og demokratiet er skjørt. Schrems II fastslår at dersom myndighetene krever å få utlevert dine data, har du en rett til å vite om det. Og du har en rett til å protestere. Denne protestretten har ikke europeere i USA, antagelig heller ikke i India, og ikke i Kina.

Look to Sweden

Hva så med skytjenester, hvilke alternativer finnes egentlig? Majoriteten av de store skytjenesteleverandørene i verden har hovedkontor i USA, en del har det i Kina og noen ganske få i Europa. Hvilke servere og applikasjoner skal man egentlig bytte til – om man vurderer å bytte?

Litt klokere-møtet konstaterer at, som så mye annet etter Schrems II-dommen, er det ingen svar med to streker under. Men vi kan kaste et blikk i retning Sverige, hvor flere offentlige myndigheter avviser å bruke Teams. De viser til at samtalene de har er sensitive, og da må de ha mer kontroll over dataene enn Teams tilbyr. Her ser vi at svensk forståelse og praksis etter Schrems-avgjørelsen er mer stringent enn i Norge.

Forskjellen er til dels historisk. Det offentlige Norge var tidlig ute og er lang fremme i bruken av skytjenester, tidligere og mer omfattende enn i andre land. Det er flere som nå tar til orde for at vi kanskje har gitt ris til egen bak. Er du først inne i en skytjeneste, er det vanskelig å komme seg ut.

Men finnes det konsekvenser?

Men hva er egentlig konsekvensene av at Privacy Shield-avtalen ikke lenger er gyldig? Får det noen konsekvenser i det hele tatt?

Frem til nå har konsekvensene vært litt ulike. Mange har unngått å inngå nye avtaler, men foreløpig har de store bøtene uteblitt. I andre land i Europa har flere Datatilsyn stoppet amerikanske skytjenester. Det siste året har også det norske datatilsynet vært langt mer frampå. Sanksjoner vil komme, ikke minst gjelder dette tredjelandsoverføringer. Tidlig i mai så vi det ved at Datatilsynet bøtela Ferde for å overføre data til Kina.

Deltakere på Litt klokere-møtet pekte også på at man avventer en Schrems II-uttalelse fra Personvernrådet, som kanskje kan være mer oppklarende. Inntil uttalelsen foreligger er det vanskelig å ta stilling til hvordan man skal forholde seg. Alternativt kan man prøve å finne en europeisk skytjeneste som kun har servere i Europa, og som ikke har databehandlere i for eksempel India eller Ukraina eller hvilket som helst tredjepartsland som ikke et godkjent.

Hva med epost?

En del av debatten på nettmøtet handlet om epost-tjenester. Mange bruker Outlook, noen bruker Gmail. Noe ligger i skyen, noe gjør ikke det. Spiller det noen rolle om man bruker Office 365, som ligger i skyen, eller om Outlook ligger på en lokal server – så lenge det uansett er Microsoft i bakgrunnen? Og hvis man skal bytte, hva skal man bytte til?

Litt klokere-møtet gir ikke fasitsvar, men noen punkter å notere seg er:

  • Bruker man Office 365 og har Outlook i skyen, er man like langt.
  • Bruker man krypteringstjenesten til Microsoft, som er en del av Azure, deler man både nøkkel og det som skal krypteres med Microsoft.
  • Bruker man Gmail, står alle serverne i USA.
  • Bruker man Google Analytics, blir all innsamlet informasjon håndtert i USA.

Det er også en grunnleggende forskjell på å installere Outlook lokalt på en exchangeserver i ditt eget datasenter og å bruke en ekstern skytjeneste. En exchangeserver på ditt datasenter er det du som styrer, mens Outlook i skyen, for eksempel via Azure, er en tjeneste du kjøper av Microsoft.

Kryptering – den gylne mulighet

Litt klokere-møtet diskuterte hvorvidt leverandører har en mulighet til å definere seg bort fra Schrems II. Kan for eksempel Microsoft si at de ikke egentlig er databehandlere fordi de aldri selv ser dataene de behandler? Og vil selskapet da kunne hevde at Schrems II ikke gjelder for dem?

Svaret på dette behøver ikke å være så komplisert. Man kan støtte seg til definisjonene i artikkel 4 i personopplysningsloven. Opererer leverandøren innenfor definisjonene, så er det behandling av data. Men noen områder vil ikke omfattes av definisjonene. I visse tilfeller kan for eksempel kryptering falle utenfor definisjonene.

–  Kryptering kommer til å bli superhot. Den som klarer å lage en smart krypteringsmetode kommer til å avgjøre mye i fremtiden, mente Eva Jarbekk.

Det finnes allerede muligheter til å forsterke plattforminitiert kryptering med en egen administrert kryptering, hvor du selv holder nøkkelen. Utfordringen er at tjenesten blir langt mindre praktisk. En av fordelene ved skytjenester er den høye graden av automatisering. Selv noe så enkelt som en søkefunksjon på tvers av data i egen organisasjon, blir umulig dersom du har jerndører foran alle dataene. Da kan man rett og slett ikke levere søketjenesten. Og hvem vil ha en skytjeneste du ikke kan søke i?

Så langt finnes det ingen «Ja takk, begge deler»-løsning. Du kan ikke ha både fullgod automatisering og doble beslag samtidig.

Utfordringen er dermed gitt.

Fant ikke noen innlegg.

IdéCafé

IdéCafé med Nils Petter Nordskar

Lurer du også på hva tilt.work egentlig er? Du er ikke alene. 9. april får vi hjelp av selveste Nils Petter Nordskar – og kanskje deg? – til å finne oss sjæl.

Idéen bak IdéCafé er gratis innspill og idéer til småselskaper som ikke kan bruke store ressurser på profesjonelle i reklame og markedsføring.

Foruten praten mellom Nordskar og tilts Paal Leveraas, er deltakernes innspill hjertelig velkomne, og svært viktige. Mange har fulgt tilt.work og dets utspring – Tirsdag morgen – lenge. Nå har du sjansen til å bli med å forme vår fremtid.


Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Darwin, dating og dommedag

Darwin, dating og dommedag

|
Det går en rød tråd fra Simen Velle til armageddon. Men det er ikke kvinnekampen som har skylda. Ei heller datingappene. Det er Darwin.
Snyltekapitalismen

Snyltekapitalismen

|
De har sugd seg inn i verdiskapningen i det meste som foregår på planeten. Nå begynner de å spise av velferdssamfunnets grunnmur også.
vektorgrafikk eldre i aktivitet

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

|
Den offentlige samtalen har et sterkt fokus på eldre som et problem og en kostnad. Skal vi snu samtalen til å handle om eldre som en livsbejaende ressurs, må det en holdningsendring til – også hos eldre.
Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

|
Den ultimate lederutfordringen: Det eneste du kan tilby av motivasjon er vafler. Tusenvis står i det hver dag.
Kvinne holde en presentasjon foran et publikum.

Kunsten å skape engasjement i møter og på kurs

|
VIVA er en huskeregel for den som vil skape engasjerende kurs som huskes.
Utsikten fra elfenbenstårnet

Utsikten fra elfenbenstårnet

|
Å se det store bildet er bra, men hvis det er det eneste vi ser, mister vi kontakten med virkeligheten.
Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

|
Visdommen jeg arvet fra min kjære bestefar, en visdom som strekker seg langt utover åkrene og inn i livets mange aspekter, er en uvurderlig guide i forståelsen av likhetene mellom lederskap og bondekunnskap.
Norge under lupen, Datatilsynets tilsyn med kommuner ang personvern

Læringspunkter fra Datatilsynets tilsyn med kommuner

|
Datatilsynets rapport etter tilsyn med flere kommuner i Norge, gir oss nyttig læring.
Vektorgrafikk med to personer foran en tavle som viser elementer for god GDPR. Illustrerer viktigheten av å bygge en god personvernkultur.

12 bud for å bygge en robust personvernkultur

|
GDPR og IT-sikkerhet er ikke et engangsoppsett. Det krever konstant fokus og kontinuerlig oppdatering. Her er 12 gode råd for å bygge en varig personvernkultur.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.