Nok til å bli EU-motstandar

16. juli fall ein dom i EU-domstolen som ser ut til å få alvorlege konsekvensar. Privacy Shield-avtalen mellom USA og EU/EØS vert oppheva. Personvernlova i EU og overvakingslover i USA kolliderer og ergo er avtala dømd ugyldig.

Problemet er Foreign Intelligence Surveillance Act (FISA) Section 702, også kjent som 50 USC § 1881a og Executive Order 12333 (E.O. 12333) samt Cloud Act H.R 4943. Etterretninga i USA kan etter reglane lytte på trafikk eller be om å få utlevert data om mistenkelege individ, som er i strid med GDPR og som ein ikkje kan avtale seg rundt. Det følgjer ei forpliktig i lovverket av tenesteleverandør.

Den siste veka har eg gjort eit djupdykk ned i moglege konsekvensar av domen. Skal ein ta det bokstaveleg har EU forbydd verksemder i EU-området om å bruke tenester som er levert av amerikanske selskap. Har verksemda di ein netteneste som handsamar personinformasjon, kan du ikkje nytte f. eks. Microsoft Azure, Google Cloud og Amazon Web Service. Kontorstøtteverktøy som Microsoft 365 og Google Apps (gamle G Suite) er det heller ikkje lov å bruke for verksemder.

I november kom det utkast til rettleiing som følgje av domen. La oss retta søkelyset mot EU sitt personvernråd: Recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data.

Use Case 6: Transfer to cloud services providers or other processors which require access to data in the clear

A data exporter uses a cloud service provider or other processor to have personal data processed according to its instructions in a third country.

If

  1. a controller transfers data to a cloud service provider or other processor,
  2. the cloud service provider or other processor needs access to the data in the clear in order to execute the task assigned, and
  3. the power granted to public authorities of the recipient country to access the transferred data goes beyond what is necessary and proportionate in a democratic society, then the EDPB is, considering the current state of the art, incapable of envisioning an effective technical measure to prevent that access from infringing on data subject rights. The EDPB does not rule out that further technological development may offer measures that achieve the intended business purposes, without requiring access in the clear.

In the given scenarios, where unencrypted personal data is technically necessary for the provision of the service by the processor, transport encryption and data-at-rest encryption even taken together, do not constitute a supplementary measure that ensures an essentially equivalent level of protection if the data importer is in possession of the cryptographic keys.

Eksempel 6 frå personvernrådet råkar alle typar skytenester som er levert eller som inngår som underleveranse av amerikansk-basert selskap eller selskap heimehøyrande i eit land med dårlegare personvern enn EU.

Ei europeisk verksemd kan ikkje putte noko i skya til Microsoft, Google, Amazon, Oracle. Verksemda kan heller ikkje bruke kontorstøtteverktøy som Microsoft 365 og Google Apps.

Eg må trekka på smilebandet når eksempelet går på handsaming av informasjon. Skal du handsame informasjon i ei teneste, må dei vere dekrypterte og handsambare i løysinga. Berre sikkerheitskopiar kan ligge i ro krypterte. Dei vert ikkje handsama, berre lagra.

Use Case 7: Remote access to data for business purposes

A data exporter makes personal data available to entities in a third country to be used for shared business purposes. A typical constellation may consist of a controller or processor established on the territory of a Member State transferring personal data to a controller or processor in a third country belonging to the same group of undertakings, or group of enterprises engaged in a joint economic activity. The data importer may, for example, use the data it receives to provide personnel services for the data exporter for which it needs human resources data, or to communicate with customers of the data exporter who live in the European Union by phone or email.

If

  1. a data exporter transfers personal data to a data importer in a third country by making it available in a commonly used information system in a way that allows the importer direct access of data of its own choice, or by transferring it directly, individually or in bulk, through use of a communication service,
  2. the importer uses the data in the clear for its own purposes,
  3. the power granted to public authorities of the recipient country to access the transferred data goes beyond what is necessary and proportionate in a democratic society, then the EDPB is incapable of envisioning an effective technical measure to prevent that access from infringing on data subject rights.

In the given scenarios, where unencrypted personal data is technically necessary for the provision of the service by the processor, transport encryption and data-at-rest encryption even taken together, do not constitute a supplementary measure that ensures an essentially equivalent level of protection if the data importer is in possession of the cryptographic keys.

I den enklaste form kan du gløyme globale støttetenester som kan hjelpe deg 24 timar i døgeret, 7 dagar i veka, 365 dagar i året. Du kan ikkje gi personell frå land med dårlegare personvern enn EU tilgang til tenesta for å hjelpe deg med feilretting.

Legg att eit svar

Fill in your details below or click an icon to log in:

WordPress.com logo

Du kommenterer no med WordPress.com-kontoen din. Logg ut /  Endre )

Google photo

Du kommenterer no med Google-kontoen din. Logg ut /  Endre )

Twitter-bilde

Du kommenterer no med Twitter-kontoen din. Logg ut /  Endre )

Facebook-foto

Du kommenterer no med Facebook-kontoen din. Logg ut /  Endre )

Koplar til %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.