En privacy-tornado på vej!

Det trækker op til uvejr i privacy-debatten.

På den ene side af debatten står Datatilsynet og fastholder, at man altså skal overholde reglerne, lytte til Schrems II og ikke bare kan overføre persondata til amerikanske cloudleverandører (med mindre man på magisk vis kan garantere, at de er sikret, så NSA ikke kan få fat i dem). Man er generelt lidt overrasket over al postyret, for reglerne har jo ikke ændret sig, man er bare begyndt at håndhæve dem.

På den anden side står virksomheder og myndigheder og anklager tilsyn og regler for at være ude af trit med virkeligheden, og beder om konstruktiv hjælp og klare retningslinker, i stedet for forbud og kritik.

På sidelinjen står først og fremmest privacynørderne (som er et term jeg her anvender med stor kærlighed) og hepper og råber, at det var på tide, at nu må vi alle sammen skifte til små europæiske cloudløsninger, og glæder sig over at de amerikanske overvågningskapitalister endelig – endelig! – får tørt på.

Men der er også mere moderate stemmer iblandt tilskuerne (typisk folk, der lever af at anvise pragmatiske løsninger for virksomheder og myndigheder), der efterspørger kompromiser og bløde landinger, fordi alternativet er praktisk uoverskueligt.

Næsten helt stille er tech-giganterne Microsoft, Amazon, Google, etc. – de skal ikke have noget klinket, og håber formentlig på at de kan holde vejret længe nok til, at der findes en bureakratisk løsning, der spreder skyerne og skaber ro.

I en helt andet postnummer står de mennesker, hvis data det hele handler om. De fleste af dem kigger den anden vej, givetvis helt uopmærksomme på debatten, og på i hvilket omfang deres persondata misbruges. Og på hvor voldsomme implikationer det ville få for deres hverdagsliv, hvis alle virksomheder og myndigheder lige pludselig skulle til at overholde reglerne.

Personligt savner jeg en balanceret, informeret politisk debat om emnet, som er båret af andet end kommunalpolitikeres praktiske overvejelser eller landspolitikeres lommefilosofi. Kan vi tillade Big Tech’s skruppelløse overvågning af borgere? Kan vores erhvervsliv og vores økonomi bære, at vi ikke benytter de største og bedste cloudtjenester? Er vi nødt til at justere GDPR, eller skal vi netop holde fast når det begynder at gøre ondt? Hvilke strategiske interesser har Danmark og EU? Hvad tjener borgerne bedst, og hvad er vigtigst?

Er det for meget at håbe på, at det kunne blive et emne i den kommende valgkamp?

Gå hjem, cloud

For nylig afholdt Datatilsynet et par såkaldte gå-hjem-møder vedr. anvendelse af cloud, i forlængelse af den cloud-vejledning, de har udgivet.

En optagelse af et af møderne dateret d. 21. juni 2022 er blevet gjort tilgængeligt af Datatilsynet:

Der er meget materiale at dykke ned i, men lad mig dvæle ved denne passage fra navnkundige Allan Frank (ca. 12:18 – 12:58):

Du er simpelthen nødt til, kontraktuelt, i det samarbejde man har med sin leverandør, at kunne kræve den sikkerhed, som du som dataansvarlig mener er nødvendig for at leve op til det her … og det er lidt besværet på den … og så kan I kalde det en illusion eller hvadsomhelst, men udgangspunktet i det her forhold er jo, at det er den dataansvarlige, der er den hund, der logrer med halen – og det er ikke databehandleren, der logrer med hunden i det her tilfælde. Så illusionen – eller realiteten, nærmere bestemt, i forordningen, og hele omdrejningspunktet, er jo den dataansvarliges ansvarlighed.

Allan Frank, Datatilsynet

Her berører Hr. Frank, på sin egen charmerende måde, denne tids gordiske privacy-knude: Så godt som alle virksomheder og myndigheder benytter i dag persondatabehandlere fra lande udenfor EU/,EØS (fx amerikanske cloudleverandører), og så godt som ingen organisationer har sikkerhed for, at denne behandling er lovlig.

Cloud-produkter (hvad enten der er tale om IaaS, PaaS eller SaaS) udmærker sig ved at være meget standardiserede varer. I langt højere grad end traditionel IT (selv go’ gammeldags COTS software), er cloudprodukter lavet til snævre globale specifikationer, for at kunne konkurrere på et marked, der i meget høj grad er drevet af volumen/economies of scale.

Så når de europæiske datatilsynsmyndigheder siger til virksomheder og myndigheder, at de skam bare skal kræve tilstrækkelig sikkerhed af deres amerikanske cloud-leverandør (som jo altså er blandt verdens suverænt største og mest magtfulde selskaber), så ved alle involverede jo godt, at fx Hvidovre Kommune eller Knud Hansen VVS ApS næppe får særbehandling af Microsoft eller Amazon.

Med til billedet hører, at netop de amerikanske cloudprodukter er så godt som uomgængelige, hvis man vil have det bedste og billigste, og ikke vil nøjes med de europæiske alternativer. For netop denne type tjenester gælder faktisk, at netop fordi de er de største, er de i mange tilfælde de bedste.

Som tidligere anført venter alle nu på TADPF, men …

  • … selv en “Privacy Shield 2” vil “kun” forholde sig til USA, og ikke til de mange andre lande, hvortil overførsler stadig vil være ulovlige i udgangspunktet (og her skal de bemærkes, at de amerikanske cloudtjenester benytter sig af rigtig mange underdatabehandlere, der hverken er hjemmeboende i hverken EU eller i USA).
  • Datatilsynet har indledt tilsyn med brug af cloud hos to offentlige myndigheder, og annonceret at de vil fortsætte hos private virksomheder – helt i modstrid med det, jeg havde forventet.

Hvilket jo efterlader organisationer, der både gerne vil levere den bedste ydelse til den bedste pris for at kunne konkurrere på europæiske og globale markeder, eller bare forvalte skatteyderes penge bedst muligt, og være nogenlunde sikre på ikke at få en bøde eller i det mindste alvorlig kritik, hvis datatilsynsmyndighederne dukker op, uden særlig mange gode muligheder.

Man kan sætte det på spidsen og spørge, om ikke de europæiske lovgivere simpelthen burde forbyde Amazon, Microsoft, Google, SAP, Salesforce, Oracle, IBM og alle de andre at sælge deres cloudtjenester i Europa? Når nu det i praksis ikke kan lade sig gøre at bruge deres tjenester lovligt (i andet end i rent teoretiske tilfælde, hvor man slet ikke behandler persondata)?

Det ville naturligvis have katastrofale følger for det europæiske erhvervsliv og offentlige myndigheder. Men det ville i det mindste være ærligt, virksomheder og myndigheder ville slippe for maskespillet, hvor alle lader som om de følger reglerne selvom ingen faktisk gør det, og de europæiske borgere ville kunne tage stilling til, om det faktisk er en europæisk virkelighed uden amerikansk cloud (og globale underleverandører), de ønsker.

En sikker destination?

I denne uges Weekendavisen er der en spændende artikel om de retssager, der er anlagt mod den britiske regering, i anledning af dens planer om at sende asylansøgere til Rwanda.

Luke og InstaLaw agter også at få afklaret, om aftalen med Rwanda vil være et brud på de britiske databeskyttelseslove.

»Vi har meget strenge regler for databeskyttelse; for hvordan data bruges, gemmes og sikres på vegne af individer. Det er regler, som Rwanda ikke ønsker at tilslutte sig, så vi mener, at det vil være ulovligt at dele informationer med de rwandiske myndigheder om individer, som risikerer at blive sendt til landet,« forklarer Stuart Luke om et andet element i sagsanlægget.

Weekendavisen, 24.05.22

Som bekendt har den danske regering arbejdet på en lignende aftale om at sende asylansøgere til Rwanda. Og skulle det lykkes, som det er sket for briterne, er det rimeligt at antage, at Danmark i givet fald ville skulle overføre oplysninger om asylansøgerne til myndighederne i Rwanda.

Men kan Danmark lovligt udveksle asylansøgernes persondata med myndighederne i et usikkert tredjeland? Hvordan sikrer man tilstrækkelig beskyttelse af disse personers data i et land, der menes at lave udbredt overvågning af egne borgere?

In July, the Pegasus Project revealed that the phone of Paul Rusesabagina’s daughter, Carine Kanimba, was infected with the NSO Group’s Pegasus spyware. Rwanda is believed to be an NSO Group client. More than 3,500 phone numbers, including those of activists, journalists, political opponents, foreign politicians and diplomats of interest to Rwanda, had been selected as potential targets for the spyware.

Amnesty International, Rwanda 2021 Report

Uanset hvad man i øvrigt mener om planerne om at sende asylansøgere til Rwanda, gør den danske regering klogt i at huske, at de europæiske regler om overførsel af persondata til usikre tredjelande også gælder for dem.

KL (Kun Lettelse): TADPF er på vej!

Som nævnt er alene annonceringen af en kommende, ny aftale om EU/USA-dataoverførsler nok til, at de fleste virksomheder, organisationer og myndigheder i praksis ånder lettet op, som eksemplificeret i Version 2’s artikel:

https://www.version2.dk/artikel/kl-jubler-over-ny-data-aftale-det-er-en-kaempe-kaempe-lettelse

Champagnepropperne er faktisk allerede sprunget, forstår man:

“Interesseorganisationen har sammen med landets 98 kommuner været i venteposition i snart to år, og derfor mener hun, det var helt naturligt, at man fejrede udmeldingen i fredags”

Er der da ingen skepsis eller frygt for, at lovgiverne igen laver en ordning, der viser sig at være ulovlig? Nej:

KL: “Vi har da helt klart en forventning om, at man finder en vej ind i det her juridisk. For ellers går man vel ikke ud fra EU-Kommissionens side og siger, at nu har man fundet et overførselsgrundlag. […]”

V2: “Men de har jo gjort det en gang før.

KL: “Ja. Men fra KL’s side vælger vi at stole på Kommissionen.”

I praksis må man antage at den politiske hensigtserklæring om en ny overførselsaftale langt, langt de fleste steder – ligesom i KL – allerede har medført, at akutte tiltag for at leve op til Schrems II-dommen er blevet sat på pause, hvis de da ikke var det i forvejen. Og her skal ordet pause forstås som var det et teenage-kæresteforhold: Man ved, det reelt er forbi, men har brug for at sige det på en pæn måde.

For hvorfor bakse med at finde på rene EU-alternativer til amerikansk cloud, når vi nu ved, at der kommer en ordning? Hvorfor lave megabesværlige afdækninger af hele kæden af underdatabehandlernes underdatabehandlere, hvis det ikke er pinedød nødvendigt?

Tænkningen er naturligvis, at det er usandsynligt at en tilsynsmyndighed, i denne situation hvor politikerne over en så bred kam så utvetydigt har tilkendegivet, at de ønsker at få problemstillingen til at gå væk, vil begynde at slå helt almindelige danske organisationer i hovedet med deres helt almindelige brug af amerikanske cloudtjenester.

Tilbage er blot at håbe, at TADPF-aftalen holder hvad den lover, altså at “normalisere” brugen af amerikanske IT-ydelser, og bringe os alle sammen tilbage til tiden før Max Schrems stak en kæp i dataoverførselshjulet, ikke én, men to gange.

I modsat fald kommer KL og alle vi andre til at ærgre os over, at vi ikke fortsatte det møjsommelige arbejde med at finde rene EU-alternativer, afdække underunderunderdatabehandlere og undersøge de juridiske forhold ift. persondatabeskyttelse i Filippinerne.

Lys for enden af Schrems-tunnelen?

I går, d. 25. marts 2022, skrev alle om det: Der er en ny Privacy Shield/Safe Harbor-ordning mellem EU og USA på vej.

Henning skrev om det, Hopp skrev om det, Pia T skrev om det, Tranberg skrev om det, ja selv Max Schrems selv skrev om det. Og alle er enige: Biden har været i Bruxelles og har sagt nogle håbefulde ord om privacy-sagen sammen med von der Leyen, fordi der er mange penge på spil. Men der er intet konkret endnu. Intet andet end gode intentioner og en forsikring om, at man nok skal finde en aftale:

Så altså: Reglerne er de samme. Det vil tage lang tid at få lavet et nyt overførselsgrundlag. Og selv da fornemmer man flere eksperters forudanelse om, at dette bare bliver et nyt Privacy Shield, som kort efter vedtagelsen bliver underkendt af EU-domstolen. For er der virkelig vilje til at mindske masseovervågningen i USA? Eller give europæerne ægte mulighed for at hævde deres rettigheder ved amerikanske domstole, sådan som det antydes i den principerklæring, der er offentliggjort:


Men tag ikke fejl: Dette er en kæmpe nyhed i virkelighedens verden. Det flertal af europæiske virksomheder og myndigheder, der indtil nu groft sagt har lurepasset efter Schrems II og ventet på, at der ville komme en politisk/juridisk løsning, vil ånde lettet op: Der kommer faktisk en god løsning i morgen. Og med god menes her en løsning, som tillader virksomhederne at gøre som hidtil.

Motivationen for at følge de lange og kringlede vejledninger vil i praksis dale yderligere, når man ved at der er en ny ordning på vej. Hvis man er kynisk anlagt, var i går derfor en lidt trist dag for beskyttelsen af persondata. Færre virksomheder vil på den korte bane gøre sig så umage med at afdække alle detaljer om deres netværk af underdatabehandlere, som reglerne faktisk siger. Flere vil vedblive med at bruge amerikanske cloud- og SaaS-løsninger som om intet var hændt. USA vil nok ikke ændre deres lovgivning. Og på den lange bane vil EU-domstolen derfor nok underkende reglerne. Da vil der være gået årevis, hvor alle igen har kunnet overføre persondata til USA uden frygt for tilsyn og bøder, og hvem ved, måske politikerne så bare går i gang med at lave en Safe Harbor-ordning nr. 4 og starter hele forestillingen forfra, én gang til?

For de mere positivt indstillede privacy-forkæmpere var i går en god dag. Den amerikanske præsident stod i Bruxelles midt i den største krise i nyere europæisk historie og talte om privacy. Tænk engang. Og måske dette faktisk vil føre til lovændringer i USA, som mindsker masseovervågningen og sikrer vores data bedre. Og måske vil dette i sidste ende tillade vores europæiske virksomheder og myndigheder at skabe vækst og produktivitet ved bruge de bedste cloud- og softwareprodukter uden at kigge sig over skulderen hele tiden.

Så der er lys for enden af tunnelen. Men er det faktisk udgangen, eller er det en måske bare en lyset fra lommelygte, der tilhører nogle andre, der også er faret vild?

Med næsen i sky

Datatilsynet har i denne uge udgivet en detaljeret vejledning om cloud:

https://www.datatilsynet.dk/Media/637824109172292652/Vejledning%20om%20cloud.pdf

… og den er jo ikke mindst interessant i lyset af at Københavns Kommune jo netop har smidt cloud-håndklædet i ringen. Men giver den nye vejledning håb til masserne, der ligesom kommunen leder efter en smutvej uden om Schrems? En nem måde at bare bruge amerikansk cloud, ligesom i (ahem) gamle dage?

Nej, desværre.

Grundlæggende er vejledningen en mere udførlig gengivelse af den 6-trins-model, som EDPB og de nationale tilsyn udsendte allerede sidste år:

Og én væsentlig udfordring, man løber ind i med at forsøge at følge 6-trinsmodellen (og derfor også med Datatilsynets vejledning), indtræffer i modellens step 1, det som vejledningen også omtaler som: Kend dine dataoverførsler. Det lyder simpelt, men når man først indser at man som dataansvarlig skal stå på mål for alle sine databehandlere, og alle deres databehandlere (underdatabehandlere), og alle deres databehandlere (underunderdatabehandlere) og … ja, altså hele kæden af databehandlere, uanset i hvor mange led, og at ansvaret altså ikke aftager med antallet af led, ja, så mister de fleste pusten inden de næsten er kommet i gang.

Udsnit af side 13 af vejledningen

Jeg sad for nylig i møde med en amerikansk ejet, global softwarevirksomhed med tusindvis af ansatte, og som i øvrigt sælger løsninger baseret på public cloud, og jeg spurgte deres sikkerhedschef, om de havde et overblik over hvilke underleverandører, herunder underdatabehandlere, de havde.

Svaret: “Vi bruger ikke underleverandører”!

Den manglende forståelse siger noget om hvor langt vi er fra en situation, hvor det man som europæisk dataansvarlig mangler, er en mere pædagogisk og detaljeret vejledning. Men tak til Datatilsynet for at gøre sig umage med at forklare og eksemplificere reglerne, så alle nu kan se, hvordan virkeligheden burde se ud.

Imens jeg har skrevet på dette indlæg kan jeg se, at altid skarpe Henning Mortensen fra RfDS har forholdt sig til vejledningen: “Problemstillingerne har ikke ændret sig med den her vejledning”.

Håndklædet i ringen

Noget tyder på at Københavns Kommune endelig har smidt cloud-håndklædet i ringen, og opgivet at finde en måde at besejre eller møve sig udenom Schrems II:

https://www.version2.dk/artikel/eu-dom-har-lammet-kaempe-cloud-omstilling-koebenhavns-kommune-1094343

Centrale citater:

“Schrems-dommen udfordrer mange af kommunens nye tiltag på digitaliseringsområdet. I flere tilfælde kan de ikke gennemføres, da leverandørerne overfører data til USA og ikke kan sikre et tilstrækkeligt beskyttelsesniveau”

“Der er dog både i staten, kommuner og regioner eksempler på, at nye systemer sættes i drift, da det i nogle tilfælde vurderes, at den samfundsopgave, myndigheden løser, ikke kan løses på en god måde uden at bruge amerikanske cloud-tjenester”

Man fristes til at konkludere, at kommunen, ligesom de fleste danske og europæiske virksomheder og myndigheder, de facto har affundet sig med at forholde sig afventende og håbe på at jurister i Bruxelles og Washington får Schrems II-problemet til at forsvinde med en opdateret Privacy Shield-ordning.

Og selvom det er mange penge, er de nævnte ekstraomkostninger på 13 millioner kr. i den konkrete sag nok næppe noget, der holder kommunens finansfolk søvnløse (til sammenligning bruger kommunen 15 millioner på at holde helårsåbent i udvalgte skøjtehaller i 2022).

Men det er rimeligt at forudsætte, at hvis kommunen begrænser sig selv her, så gælder begrænsningen også andre steder, hvor besværet og ekstraomkostningerne givetvis vil være væsentligt større.

Den digitale gasledning

Resten af verden er som bekendt i fuld gang med at afskære Rusland finansielt og kulturelt, glimrende illustreret i dette opslag:

https://www.linkedin.com/posts/alexandrakrautwald_ikea-og-lego-lukker-deres-drift-apple-pay-activity-6905805941480980480-BgYy

Det skal blive interessant at se hvornår den digitale verden for alvor følger trop og de store amerikanske cloud-leverandører også lukker for russerne:

https://www.geekwire.com/2022/analyst-only-a-matter-of-time-before-u-s-cloud-companies-shut-off-services-in-russia

På lidt længere sigt er det værd at tænke over, at globalisering og ikke mindst “cloudificeringen” af vores allesammens IT-løsninger også binder os tættere sammen rent politisk.

Efter Schrems II har vi på tværs af Europa set, at selvom vi nu ved, at brug af amerikanske cloudtjenester i mange sammenhænge slet ikke er lovligt, har der ikke for alvor været vilje til at rette ind og ændre praksis, hverken politisk eller i erhvervslivet. Jovist, der er punktvise EU-baserede alternativer, men de færreste politikere og erhvervsledere finder det hverken realistisk eller ønskeligt helt at undgå de største (og derfor, i mange sammenhænge, bedste og billigste) leverandører. Så alle har reelt foldet hænderne og ventet på at juristerne finder en eller anden løsning – lige med undtagelse af NOYB, naturligvis.

Hvor mange danske virksomheder og myndigheder kunne i dag tåle at “den digitale gasledning” under Atlanterhavet blev lukket, og datastrømmen fra fx Amazon, Google, Microsoft, IBM, Oracle og Salesforce blev afbrudt?

Dette kan meget vel blive virkelighed for Rusland i allernærmeste fremtid, og man vel ikke udelukke, at det kan ske for Danmark eller Europa engang i fremtiden, fx som konsekvens af en (handels)krig? Er vores vestlige alliancer robuste nok til at vi kan tillade os ikke at være selvforsynende med bæredygtige digitale ydelser?

Er de gale i Luxembourg?

Nedenstående artikel af Carey Lening giver et virkelig interessant perspektiv på Schrems II-dommen og ikke mindst de seneste afgørelser vedr. brug af Google Analytics og Fonts i fx Frankrig, Østrig og Tyskland.

https://www.grcworldforums.com/legal-and-regulation/regulators-are-playing-a-dangerous-game-on-the-internet/4040.article

Artiklens grundpræmis er at EU-domstolen (og de nationale datatilsyn) er fundamentalistiske (‘privacy-absolutist’) i deres tilgang, når man i de fremhævede eksempler ikke anlægger en risikobaseret tilgang i sin vurdering af, hvorvidt en IP-adresse er persondata. Og at denne fundamentalisme risikerer at undergrave fragmentere internettet som vi kender det, mens man i praksis ikke lever op til sit erklærede formål om at beskytte menneskers ret til privatliv.

Selve argumentet om, at domstole og tilsyn burde anlægge en risikobaseret tilgang til spørgsmålet om hvorvidt noget er persondata, forekommer at være lidt vinkelret på GDPR. Forordningen instruerer godt nok de dataansvarlige om at agere risikobaseret, men det er så vidt jeg kan se ift. at vurdere risikoen for de registrerede og vurderingen af foranstaltninger. Ikke ift. selve definitionen af persondata.

Men selv hvis man går ind på præmissen, at det er rimeligt at anlægge et risikobaseret perspektiv på hvorvidt noget er persondata, så har jeg altså svært ved at se, hvordan en IP-adresse sendt til Google kan betragtes som anonym og ikke-personhenførbar.

De fleste almindelige internetbrugere skifter sjældent deres eksterne IP-adresse (måske hver 14. dag eller deromkring?), så hvis et dansk website, som jeg besøger, sender min IP-adresse til Google (fordi de har implementeret Google Analytics, men selvom jeg har frabedt mig cookies og anden tracking) vil det da ikke undre, at Google i praksis udleder, at jeg er den samme, der tidligere på dagen har anvendt en af deres andre tjenester eller besøgt et andet site – hvor cookies måske ikke blev slået fra.

Når det er sagt, så er artiklens bekymring over hvor denne tilsynspraksis fører os hen, dvs. hvordan europæiske virksomheder i praksis skal fungere på et gennem-amerikaniseret internet uden at bryde reglerne, reel nok. I min ydmyge optik ligger løsningen dog hverken hos de nationale tilsyn eller EU-domstolen i Luxembourg, men hos lovgiverne i Bruxelles – og/eller hos de private virksomheder, herunder de amerikanske internetgiganter, med hvem vi naturligvis deler en enorm interesse i at finde kreative løsninger af problemet.

Helst i en fart.

Nu bliver det (måske) alvor

Nu virker det til, at konsekvenserne af SchremsII-afgørelsen begynder at gå op for myndigheder og virksomheder over hele Europa.

https://www.version2.dk/artikel/eksperterne-enige-ny-fransk-afgoerelse-klemmer-livet-ud-analytics-danmark-1094220

Et de facto forbud mod at anvende Google Analytics kan lynhurtigt brede sig til at omfatte de mange andre, tilsvarende konstruerede tjenester fra de dominerende amerikanske leverandører – hvorfor skulle det være anderledes med Googles andre tjenester? Eller Facebooks? Eller de store databroker-netværk?

Det danske datatilsyn lurepasser, som det fremgår, men for danske virksomheder er det ikke desto mindre ved at være sidste udkald ift. at indlede en kortlægning af brugen af denne type tjenester (hvilket lyder simpelt, men som i praksis er ganske ressourcekrævende, i hvert fald for større virksomheder med en lang historik og en spraglet internettilstedeværelse), opdateret (eller endelig få lavet) de nødvendige risikovurderinger og evt. lagt planer for at finde alternativer – hvis det overhovedet viser sig muligt.

For når først Datatilsynet (og Erhvervsstyrelsen, ift. fx telebranchen) vågner op til dåd og som forventet følger udmeldingerne fra Frankrig og Østrig, giver de nok ikke danske virksomheder meget tid til at få rettet ind.