EUs nye SCC endrar ikkje noko

Eg viser til mine tidligare postingar om Schrems II-domen:

4. juni kom det nye Standard Contractual Clauses for internasjonale overføringar. Eg har lese gjennom Annex to the COMMISSION IMPLEMENTING DECISION on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679. Rull ned til side 22, SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES og Clause 14 Local laws and practices affecting compliance with the Clauses.

(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.

Her skal handsamingsansvarleg og datahandsamar garantere at datahandsamar ikkje kan bli pålagt å utlevere i strid med GDPR og menneskerettane i EU. Det krev ei stor innsikt i både lovverk og praksis i landet (utanfor den europeiske sone eller land med tilstrekkelegheitserklæring for personvern).

Eg har utheva ei setning som eg meinar har relevans med tanke på amerikanske selskap. Om ikkje eg hugsar feil fastslo EU Court of Justice (EUCJ) at overvakinga i USA exceed what is necessary and proportionate in a democratic society. Domen slo fast at overvakingslovene i USA er eit brot på GDPR og menneskerettane nedfelt i mennesrettscharteret i EU. Vi veit dermed at det for amerikanske selskap/konsern (Microsoft, Google, Apple, Oracle osv.) ikkje vil vere mogleg å kunne garantere noko i tråd med Clause 14.

Eg registrerer også at ein har fått inn ei fotnote 12 som strekker seg over nederste del av side 22 og 23:

As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.

Eg har utheva noko sidan innsyn etter Foreign Surveillance Act (FISA) ikkje legg til rette for varsling av handsamingsansvarleg eller objektet/personen etterretninga vil ha innsyn i, slik at ein kan bestride innsynet i ein rett. Verksemda vil(/kan) bli pålagt «gag order» som gjer at dei har teieplikt om innsyn. Ergo kan ein heller ikkje rapportere at det har vore innsyn.

Oppsummering:

  • Amerikanske tenester kan ikkje brukast til å handsame persondata (i klartekst), sjølv med nye SCC.
  • USA må endre sine overvakingslover før det kan bli lovleg.
  • I praksis må du bruke skytenester fullt ut eigd og levert innafor det europeiske økonomiske område (EEA) eller i land med tilstrekkelegheitserklæring for personvern. For alle andre stadar vert det kravd omfattande innsikt, forståing og dokumentasjon av lov og praksis i landet til datahandsamar og eventuelt landet der datahandsaminga finn stad i, til at det vil være for kostnads- og tidskrevande å kartlegge og følgje opp for mange verksemder.

Tur: Eitorn til Vassvarden om Nyanstøl

Start i Eitorn, eitt par kilometer frå Hella ferjekai. Følg kjerrevegen mot Eitun. Fleire av bygningane på Eitun kollapsar. Det kan vere lurt å lytte og følgje med når du går gjennom tunet. På andre sida går du inn på stien som tek deg oppover forbi dei gamle husmannsplassane: Bustadstykkje og Trodlahaugen.

Like over Trodlahaugen følgjer du stien oppover til Myrsete. Heile turen til Myrsete er bratt. Frå du står i vegen i Eitorn til du er oppe, skal du gjere unna nesten 600 høgdemeter. Utsikt er avgrensa, men eit stykke oppi kjem du til eit berg med benkar med utsikt over Eitorn og Vestrheim.

Det er framleis eit stykke til du er på Myrsete, men du veit du nærmar deg når du byrjar å høyre elva. Oppe på Myrsete er utsikt ut over fjorden. Ta inn inntrykket før du snur deg nordover og held fram, inn Kvinnedalen. Denne delen er langt slakare. Mellom Myrsete og Nyanstøl er det berre snakk om nesten 200 høgdemeter.

Like etter Myrsete får du ein liten pause frå skogen i linjetrasseen. I aust tronar både Mælen og Hest. I vest ser du Storholten og Vassvarden. Du held fram inn i skogen, men får like etterpå utsikt over stølsområdet Kluke før du held fram gjennom dalen.

Like før du kjem til Nyanstøl er du fri skogen. Ta ein pause, et nista di og fyll flaska frå elva som renn forbi. Vassvarden tronar i vest, over Nyanstøl. Du ser varden og flymerke frå stølsområdet. Det er ca 250 høgdemeter opp dit. Det er berre å ta lia i små steg, so kjem du opp. Ta pausar for å nyte utsikta på vegen opp.

Den største fordelen med turen frå Eitorn er at du har tilgang til elva på Nyanstøl og kan etterfylle flaska både på turen opp og ned. Går du frå Sanden, må du bere med deg all drikke frå starten. Det kan bety ei litt tyngre bør enn frå Eitorn, men når det er sagt har turen frå Sanden opp via garden Ruud mykje finare utsikt.

PS! Det vil koma nye videoar seinare. Eg fekk ikkje med meg ei svetteperle som hamna på linsa litt før Myrsete og dannar eit tåkete parti midt i bilete.

Tur: Eitorn til Nyanstøl

Start i Eitorn, eitt par kilometer frå Hella ferjekai. Følg kjerrevegen mot Eitun. Fleire av bygningane på Eitun kollapsar. Det kan vere lurt å lytte og følgje med når du går gjennom tunet. På andre sida går du inn på stien som tek deg oppover forbi dei gamle husmannsplassane: Bustadstykkje og Trodlahaugen.

Like over Trodlahaugen følgjer du stien oppover til Myrsete. Heile turen til Myrsete er bratt. Frå du står i vegen i Eitorn til du er oppe, skal du gjere unna nesten 600 høgdemeter. Utsikt er avgrensa, men eit stykke oppi kjem du til eit berg med benkar med utsikt over Eitorn og Vestrheim.

Det er framleis eit stykke til du er på Myrsete, men du veit du nærmar deg når du byrjar å høyre elva. Oppe på Myrsete er utsikt ut over fjorden. Ta inn inntrykket før du snur deg nordover og held fram, inn Kvinnedalen. Denne delen er langt slakare. Mellom Myrsete og Nyanstøl er det berre snakk om nesten 200 høgdemeter.

Like etter Myrsete får du ein liten pause frå skogen i linjetrasseen. I aust tronar både Mælen og Hest. I vest ser du Storholten og Vassvarden. Du held fram inn i skogen, men får like etterpå utsikt over stølsområdet Kluke før du held fram gjennom dalen.

Like før du kjem til Nyanstøl er du fri skogen. Ta ein pause, et nista di og fyll flaska for returen. Vassvarden tronar i vest, over Nyanstøl. Det er ca 250 høgdemeter opp dit. Det er berre å ta lia i små steg, so kjem du opp. Returen kan du ta ned til Ruud og Vestrheim.

Tur: 17. maihaugen frå Eitorn

Start i Eitorn, eitt par kilometer frå Hella ferjekai. Følg kjerrevegen mot Eitun. Litt oppi er det skilta utover mot 17. maihaugen. Haugen ligg på ei flate, litt vest for Kvinnefossen, om lag på same høgde som gamletunet i Eitun. Namnet har plassen fått sidan grendi feira nasjonaldagen her.

På framsida er det planta ein halvsirkel med gran, og bak stig terrenget slakt skrånande oppover og lagar eit naturleg amfi. 17. maihaugen var tidlegare om sommaren ein samlingsplass for ungdomen der dei dreiv med folkeviseleik og hadde hytteleg samvær.

Fredsdagane i 1945 var der stor fest i grendi. Ein feira freden med rømmegraut, tale og song. I nyare tid har deg òg vore halde friluftsgudsteneste på 17. maihaugen.

Blendane talent

Eg har ein svært variert musikksmak. Han varierer alt frå Elvis Presley til Slayer og tilbake til Paganini, Beethoven og Strauss. Det er ein plass eg dreg ei absolutt line og det er med musikk med «growling«. Sjølve musikken kan vere etter min smak, men med ein gong det som vert kalla vokalist opnar kjeften er det ein «show stopper». Ikkje f**n om eg høyrer på nokon som treng ein halv palle med Fisherman’s Friend for å kunne synge.

La meg ta dykk tilbake til 80-talet. På denne tida hadde eg teke meg vidare frå Elvis Presley. Eg lytta til Iron Maiden og Motörhead. Førstnemnde er meir rafinert musikalsk. Når det gjeld nye musikkinntrykk, minnes eg ein gong på midten av 80-talet der ein nabo som spelte Yngwie Malmsteen’s Rising Force på sine ghettoblaster. Eg høyrde Far beyond the sun når eg passerte. Det var eit blendande talent på gitar og her var det berre å gå til innkjøp av plata.

Den første plata var mest instrumental, men skal du slå gjennom må du ha vokalist. Resterande av platene ut 80-talet auka innslaget av vokal og minimerte gitarvirtuosen. Kompromiss er ikkje alltid bra og eg droppa karen.

Sidan midten av 80-talet har mykje skjedd, men skal eg plukke fram ein ting som har vore like revolusjonerande som Yngwie Malmsteen må eg plukke fram Tina S. Ho er på alder med tvillingane mine, men har spela gitar lenge. Dei siste åra har ho teke ein pause frå gitarspelinga for å studere.

Lytt til Ludwig van Beethoven – Moonlight Sonata (3rd Movement). Eg legg ved Youtube-videoen, som skal vere i eitt tak utan klipping og skøyting av andre opptak. De treng ikkje like klassisk, men i det minste nyt talentet:

Tur: Havrane frå Geitadalen

Dersom du tykkjer at turen frå Kvålen om Fadnastølen til Havrane er for lang og tung, er dette eit lettare alternativ. Turen på ca 2 kilometer og det er ikkje mange høgdemeterane som skal forserast. På våren kan det vere litt vått i eller like etter snøsmeltinga. Det kan vere lurt å ta turen i juni og utover. Det er mogleg å grille på svaberga ved vatnet både pølser og fisk frå vatnet.

Frå Kvålen køyrer du heilt fram i Njøsadalen til Geitadalen og parkerer. Låge bilar treng ikkje forsøke. Vegen til ta botnpanner, slik som i vår. Det er ein klar fordel med høgare suv eller bil meint for dårlege veger. Frå parkeringsplassen går du til Tuftahaug, finn det svarte selet samt starten på stien, som tek deg til Havrane. Det er slak stigning til du er på toppen av åsen over kløfta du skal ned i. Ta ein pause på berget og sjå utover Sognefjorden og bygda. I sør kan du sjå Skriki og veggen bak fremsta Havravatnet. Etter pausen følgjer du stien nedover til kløfta. I botnen må du trekkje austover før du kryssar og går opp andre sida.

Vel oppe på same platået som Havravatni ligg på, kan du nok ein gong ta ein pause og sjå utover Sognefjorden og øvre del av bygda. Gå vestover til den store metallmasta før du svingar til venstre. Du ser veggen bak fremsta Havravatnet og det er berre å ta retning og navigere deg gjennom småkrattet som veks her. Området har våte områder. Her er det berre å finne tuer å gå på. I videoen har eg svinga innom posten til Syril, som står litt vest for det fremste Havravatnet.

Returen kan vere litt utfordrande når du skal opp av kløfta. Det går sauetrakk her som kan lure deg heim-/vestover kløfta. Legg merke til at oppstigninga startar ved eit lite svaberg, ca. 40 meter etter at du går inn i krattskogen.

Tur: Haoahaug om Vetlagjerdet

I 2020 vart det etablert ein traktorveg til Baukaseingjedn som tek det forbi gamle slåtteteigar på vestsida av Vetlagjerdet. Vegen opnar for ei alternativ rute til Skagasete. Du startar på Kvålen og følgjer vegen til det flatar ut i Vetlagjerdet. Omtrent med ein gong det har flata ut, tek du til venster og følgjer den nye traktorvegen til Baukaseigjedn oppover.

Når vegen svingar inn i skogen, skal du sjå opp til høgre. Der vil du få auge på Pilavik-selet. I den tid det var bygd, vart materiale som vart brukt til å forsøke å etablere støl på Bergsete teke ned og nytta i bygginga. Vegen er bratt, men etter eit par svingar minkar stigninga. Følg vegen til endes og følg stien ned til Haoahaug.

Med tre alternativ for å koma seg til Haoahaug:

  1. Dalen
  2. Kvålen
  3. Om Vetlagjerdet

har du god mogleheit til å variere…

Tur: Skagasete om Vetlagjerdet

I 2020 vart det etablert ein traktorveg til Baukaseingjedn som tek det forbi gamle slåtteteigar på vestsida av Vetlagjerdet. Vegen opnar for ei alternativ rute til Skagasete. Du startar på Kvålen og følgjer vegen til det flatar ut i Vetlagjerdet. Omtrent med ein gong det har flata ut, tek du til venster og følgjer den nye traktorvegen til Baukaseigjedn oppover.

Når vegen svingar inn i skogen, skal du sjå opp til høgre. Der vil du få auge på Pilavik-selet. I den tid det var bygd, vart materiale som vart brukt til å forsøke å etablere støl på Bergsete teke ned og nytta i bygginga. Vegen er bratt, men etter eit par svingar minkar stigninga. Når du er ved det høgste punktet, tek du til høgre og går inn på den gamle slåtteteigen og går rett oppover. Byrjar vegen å gå nedover har du gått for langt.

Granene forsøker hardt å vinne att slåtteteigen, men held du fram oppover vil du kome inn på stien som kjem opp frå Baukaseigjedn og kan ha start på Dalen eller Kvålen. Følg stien forbi Grindhaug, Rømdalmadn, Bustabakkane, Bjødlehaug og opp til Skagaete.

Visma in School bryt med GDPR

Eg ser Visma in School vart omtalt på Digi i dag. Eg har skrive mykje om følgjene av Schrems II-domen og det at ein i noverande rettstilstand i praksis fins ingen gode tiltak som gjer at ein kan ta i bruk amerikanskeigde skytenester. Først sjekka eg personvernerklæringa til Visma. Inndelinga «Når benytter vi underleverandører» var veldig vag.

Ved bruk av underleverandører vil Visma inngå en databehandleravtale (DBA) for å beskytte dine rettigheter til personvern i henhold til gjeldende personvernlovgivning. Dersom underleverandører befinner seg utenfor EU, vil Visma sørge for at det inngås gyldige overføringsmekanismer med disse på dine vegne ved å benytte ordninger godkjent av EU kommisjonen, herunder EU Model Clauses.

For å identifisere kor løysinga køyrer, sjekka eg kor lillehammernord-vgs.inschool.visma.no tok meg. IP-adressa er 34.241.207.162. Ho høyrer til EU West 1 til Amazon som geografisk har tilhøyr i Dublin, Irland. Amazon er eit amerikansk selskap som er underlagt amerikanske lover.

Eg gjekk vidare og såg på lenka knytt til Schrems 2 og tiltak. Her rotar Visma til bildet med å dra inn CLOUD act. Problemet ligg i FISA (Foreign Surveillance Act). I FISA er det ingen uavhengig dommar som tek stilling til om etterretninga kan pålegge ein amerikansk «electronic communications service provider», som Amazon, å utlevere informasjon. Dersom etterretning har behov for informasjon om individ, kan dei instruere selskapet til å hente ut informasjon kor som helst den er i verda på selskapet sine serverar. Leverandøren blir pålagt ein «gag order» som gjer at dei ikkje kan informere om dette til nokon, inkludert individet eller for den del Visma, om dei finn informasjonen i deira tenester.

Det er ikkje noko som tydar på at Visma har på plass tekniske tiltak for å sikre informasjonen mot innsyn. EDPB i si rettleiing Use Case 6 – handsaming av informasjon i klartekst/ukryptert – er tydeleg på at i slike tilfeller fins det ikkje tekniske tiltak. Ein kan ikkje avtale seg vekk frå den amerikanske lova, det er difor eit nødvende at ein har på plass tekniske tiltak som kryptering og/eller pseudonymisering.

  • Mi vurdering er at Visma in School med stort sannsyn er ei teneste som er i strid med GDPR.

Ei bonussak er at opplæringsportalen er levert på inschool.zendesk.com. Om du sjekkar IP-adressa – 104.16.53.111 – vil du sjå at trafikken vert sendt gjennom den amerikanske trafikkstyringstenesta Cloudflare. Dette blir vanlegvis gjort for å sikre tenesta si mot ulike former for skadelege angrep, som tenestenektangrep (DDoS). IP-adressa ser ut til å vere geografisk plassert i USA, som betyr at du i tillegg til å sende via ein leverandør underlagt FISA, også sender trafikk til USA. Executive Order 12 333, som FRA-lova i Sverige, gjer at ein kan avlytte trafikk inn til landet/USA. Metadata rundt trafikken kan plukkast opp. Etterretning for medlemsland innanfor EU/EEA er unnateke etter GDPR artikkel 23. USA og mange andre land er ikkje med i EU/EEA. Dersom TLS, på grunn av djup pakkeinspeksjon, blir terminert hos Cloudflare, vil trafikken mellom Cloudflare og sluttenesta kunne vere lesbar for Cloudflare og kan då bli samla inn etter FISA. Det kan leggast til at Zendesk er eit amerikansk selskap. Lista ligg ikkje høgt for å koma inn under omgrepet «electronic communications service provider» som gjer at dei kjem innunder FISA.

  • Einaste løysinga er at USA endrar sine lover, før vi kan bruke tenestene lovleg.

Eg held ikkje pusten!

Tur: Trollgrana på Kleppa

Dette er ein tur som passar dei aller minste. Turen er slak og ca 300 meter lang, halvparten på grusveg og resten på gras. Du startar på parkeringsplassen på Kleppa og går oppover til du kjem like forbi Gapahuken, i botnen av slalombakken. Det står eit skilt ved vegen som peikar i retning av Trollgrana. Du er halvveges.

Ved skiltet går du ut av vegen og held fram i graset til du kjem inn til skogen mot vest. Om vinteren er dette ei sløyfe på skiløypa der du går oppover langs skogen før du vender tilbake og sigler ned og forbi gapahuken.

Ved Trollgrana står det eit skilt. Ta turen rundt Trollgrana og studer alle utvekstene som strekker seg mot himmelen.