Ufin – kanossagang, jurist nyttar tvilsom avtale – heilt greit?

Arbeidarpartiet sit med ei nøtt no. Personen som gjekk hardt ut mot tidlegare nestleiar sit i klemma. Ho er utdanna jurist og det luktar ikkje bra av saka hennar. Etter at ho fekk vite at ho ikkje får skattefri bustad, legg ho fram ein kontrakt berre datert nokre dagar før. Med denne, i mine auge tilsynelatande fiktive, kontrakten kunne ho nyte godt av skattefri pendlarbustad.

Forrige nestleiar måtte gjennom ein solid kanossagang og er framleis sett på som spedalsk i Arbeidarpartiet. Han er omtrent politisk død. Feilen var at han ved enkelte høve kunne vere ufin og «tafsete» mot det andre kjønn, men han braut ingen lover. Han er ikke dømt for noko.

No har Arbeidarpartiet ein jurist som med høgt sannsyn har brote lover, men forholdet er forelda. Framleis sit ho som nestleiar. Handlingane hennar er langt verre med tanke på hennar kompetanse. Det er vanskeleg å ha tillit til nokon som skal vite betre. Naturleg konsekvens er at ho gir seg som politikar.

Velkomen etter …

Eg har følgt med utviklinga som følgje av Schrems II-domen med påfølgande retningslinjer og domar. Det overraskar meg ikkje at ting fell på plass slik eg såg det for meg. Av og til fleipar eg med at det er to måtar å gjere ting på: Min måte og feil måte. Her slår det til igjen. Du kan lytte gjennom det siste webinar til advokatfirma Fieldfisher:

Dei går mellom anna inn på den siste avgjerda i Austerrike på bruk av Google Analytics. Greit at anonymiseringfunksjonen til Google Analytics ikkje vart brukt. Hadde den vorte brukt ville det framleis vore Google som hadde strippa det siste talet i IP-adressa før ho vart lagra. Ergo hadde Google handsame personinformasjon (IP-adressa) i klartekst, som er i strid med råda frå EDPB (personvernrådet i EU).

Representantane frå Fieldfischer har lita tru på at USA kjem til å endre sine lover/reglar, men dei har tru på at EU og USA vil få på plass Privacy Shield 2.0. Det er her det kollapsar for meg. Ein advokat eller jurist må for f**n vite at ein ikkje kan avtale seg rundt lover. Det er difor vi har både Schrems I og Schrems II-domane.

Dersom EU og USA skulle forhandle fram ei Privacy Shield 2.0-avtale, skriv ho ut på smalt, mjukt papir, rull det saman og bruk det som toalettpapir. Du kan òg vente på ein Schrems III-dom som pulveriserer Privacy Shield 2.0. Som eg har sagt tidlegare er det berre ei løysing på denne gordiske knuten, USA må endre sitt lovverk.

Vrøvl, Microsoft

Las artikkelen på Digi om Stockholm som finn det problematisk å ta i bruk Microsoft 365-portefølgjen som følgje av Schrems II-domen og gjeldande lovheimlar for etterrertning i USA. Eg har skrive ein del innlegg om dette i løpet av fjoråret. Spesielt er FISA 702 problematisk, men også Cloud Act blir drege fram.

Kort sagt kan Microsoft, som Electronic Communication Service Provider, bli pålagt å hente ut informasjon dei har lagra på eit ikkje-amerikansk individ utan å sei ifrå eller la vedkomande få moglegheita til å motsetje seg utleveringa. Kor informasjonen er lagra i universet er likegyldig. Den same problemstillinga gjeld andre skyleverandørar som kjem inn under definisjonen Electronic Communication Service Provider. Du får ikkje poeng for å gisse Google eller Apple.

Det som får blodet til å koke litt her er når Microsoft prøver å skyve denne problemstillinga under teppet:

Teknologi- og sikkerhetsdirektør Ole Kjeldsen sier til teknologiavisen at de har jobbet målrettet for å beskytte europeiske kunders privatliv. 

Han konstaterer at skytjenestene deres er i tråd med Schrems II-dommen.

Den siste setningen er rett og slett vrøvl, sprøyt, feberfantasi, usannheit og/eller rein løgn. Det endrar ikkje det fakta at Microsoft, som amerikansk selskap, er underlagt amerikanske lover der dei kan bli pålagd å levere ut data på eit ikkje-amerikansk individ. Microsoft står over for å eit dilemma: Dei kan velje å bryte amerikansk lov eller europeisk lov. Ein kan ikkje avtale seg rundt lover. Det er lett å konkludere med at Microsoft vel å ikkje bryte amerikansk lov. Her finn du statistikken på forespørslar/ordrar dei har handsama gjennom åra.

Microsoft 365, der du kan sjå informasjon i nettlesaren, f.eks. Office Online, betyr at informasjon vert handsame i klartekst. Det som vert vist til deg i nettlesaren er klartekst transportert til og deg i ein kryptert kanal over internett. Sjølv om informasjonen blir låst ned eller kryptert når den blir lagra hos Microsoft, betyr det at Microsoft har tilgang til nøkkelen for å låse opp informasjonen.

Det kan vere greit å ha på minne at «sky» er berre eit ord for nokon andre sin(e) datamaskin(er)!

Foto av Manuel Geissinger frå Pexels.com

Det byrjar å demre for offentlege etatar

Ingen bombe for meg, men direktoratet for e-helse har avgjort å setje utviklinga av Helseanalyseplattformen på pause. Det er omtala i Dagens Medisin her, eg refererer kort:

  • USAs føderale etterretningslover gir amerikanske myndigheter rett til tilgang til informasjon om personopplysninger fra amerikanske selskaper, også hos dem som opererer i utlandet.
  • Dette er et brudd på europeisk personvernregelverk, og en EU-dom fra i fjor sommer, den såkalte Schrems II-dommen, stiller strenge krav til denne typen dataoverføring, for å sikre at europeeres personopplysninger blir like godt beskyttet etter overførselen til tredjeland som de blir i EØS.

Må være trygge

Helseanalyseplattformen bruker Azure som skyleverandør, som er underlagt amerikansk lovgivning. Selskapet kan i ytterste konsekvens bli pålagt å levere ut personopplysninger, også dersom opplysningene befinner seg på servere som er lokalisert i Norge.

Saka er også omtalt på ehelse sine eigne sider. Eg har skrive mykje om problemstillinga. Det er berre å gå gjennom innlegga innan data-kategorien det siste året. For meg er det ikkje uventa at andre kjem til same slutning.

Gitt lovverk i USA og EU samt føringane av det europeiske personvernrådet, er amerikanskeigde skyleverandørar bannlyste. Til dømes vil Micrsoft Azure, Amazon Web Services, Google eller Oracle Cloud aldri bli i tråd med GDPR så lenge USA ikkje endrar sitt regelverk.

Oppdatert rettleiar frå Datatilsynet stadfestar mitt syn

Eg har skrive ein god del tidlegare om Schrems-problematikken og følgt tett med på ting som skjer. La merke til at Datatilsynet kom med ein oppdatert rettleiar i forrige veke, 3. september 2021, som stadfestar mine vurdering:

Det er i strid med lovverket å bruke amerikanske skytenester der personinformasjon må handsamast i klartekst. Kan du lese det på ein skjerm, i f.eks. nettlesaren, har du fått servert klartekst eller menneskeleg forståeleg tekst. Som verksemd ryk høvet til å bruke eller levere tenester på Microsoft Azure, Microsoft 365, Google Cloud, Google Workspace, Apple, Oracle Cloud osv.

Eg vel å hente ut det sentrale frå rettleiaren med mine uthevingar:

Personvernforordningen inneholder ingen definisjon av begrepet «overføring». Vi legger til grunn at begrepet omfatter tilfeller hvor personopplysninger sendes til noen utenfor EØS. Vi legger også til grunn at begrepet omfatter tilfeller hvor noen utenfor EØS får tilgang til personopplysninger lagret i EØS. Grunnen til det er at de som har tilgang til personopplysningene, potensielt kan benytte dem videre eller dele dem med andre, slik som ved en fysisk overføring.

Formålet med standard personvernbestemmelser er at dataimportøren skal garantere et tilstrekkelig beskyttelsesnivå etter at personopplysningene har blitt overført ut av EØS. Man må imidlertid vurdere hvorvidt dette beskyttelsesnivået vil opprettholdes i praksis før data overføres. Standard personvernbestemmelser er nemlig ikke bindende for tredjelandets myndigheter, og tredjelandets lover kan gå foran standard personvernbestemmelser. Et særlig praktisk typetilfelle er der tredjelandets lovgivning tillater at myndighetene kan skaffe seg adgang til data i større grad enn det som er proporsjonalt og nødvendig.

….

Domstolen vurderte amerikansk lovgivning spesifikt og kom frem til at særlig Foreign Intelligence Surveillance Act (FISA) Section 702 og Executive Order (E.O.) 12333 er problematiske opp mot kriteriene ovenfor.

FISA 702 innebærer at amerikanske virksomheter kan motta begjæringer fra amerikanske myndigheter om uthenting av informasjon om bestemte personer. Her trakk EU-domstolen særlig frem manglende kontrollmekanismer for å gjennomgå etterretningens målretting på individnivå. E.O. 12333 tillater masselagring av data som sendes til USA uten rettslig prøving. Domstolen uttalte at omfanget av myndighetenes tilgang til data under E.O. ikke er tilstrekkelig klart og presist avgrenset.

Når det gjelder FISA 702 og E.O. 12333 gjør vi oppmerksom på følgende:

  • Amerikanske «electronic communication service providers» (tilbydere av elektroniske kommunikasjonstjenester) er underlagt FISA 702. Dette er definert vidt. For eksempel vil såkalte «remote computing services» være underlagt loven. Det er også viktig å være klar over at loven kan gjelde både innenfor og utenfor amerikansk territorium. Samtidig finnes det også eksempler på amerikansk tjenesteyting som ikke faller inn under denne loven. Dette kan for eksempel være tilfellet for teknisk støtte knyttet til enkelte on premise-løsninger.
  • I motsetning til FISA 702 krever ikke E.O. 12333 at amerikanske virksomheter hjelper amerikanske myndigheter å få tilgang til dataene, for eksempel ved å oppgi krypteringsnøkkelen.

….

I utgangspunktet bør de ytterligere tiltakene inkludere tekniske tiltak. Grunnen til at man trenger ytterligere tiltak er jo nettopp fordi lokale lover i tredjelandet går foran overføringsgrunnlaget, som ofte er en juridisk bindende avtale. Da kan det som regel være vanskelig å se for seg ytterligere juridiske eller organisatoriske tiltak som alene kan sikre beskyttelsesnivået. Hva som er effektivt i praksis, må imidlertid vurderes konkret i hver enkelt sak.

Når det gjelder tekniske tiltak, står særlig sterk kryptering og nøkkelhåndtering sentralt. Kryptering kan typisk motvirke at tredjelands myndigheter får adgang til data under transport og lagring så lenge krypteringsnøkkelen ikke er eller vil bli tilgjengelig for myndighetene eller aktørene underlagt tredjelands lovgivning. Dersom derimot en dataimportør i tredjeland sitter på krypteringsnøkkelen fordi den trenger å jobbe med dataene i klartekst, vil ikke kryptering være effektivt mot utleveringsbegjæringer fra lokale myndigheter.

Lover og praksis kan utgjøre et inngrep i personvernet, uavhengig av om dataene er sensitive eller hvorvidt personene det gjelder faktisk har blitt negativt berørt av inngrepet – men ikke alle inngrep utgjør en krenkelse. Det er først når lovene og praksisene går lenger enn nødvendig og proporsjonalt at de utgjør en krenkelse. Man trenger bare iverksette ytterligere tiltak der det foreligger en krenkelse.

Ad setning i siste avsnitt merka raudt. Schrems II-domen tok stilling til lovene i USA. Dei vurderte lovene og praksis til å gå for langt, ergo vil det vere innafor krenking av personvernet. Sjølv om det kan vere ein minimal sjanse for at ei krenking skjer, ved at data blir henta ut, er det OK å utsetja brukarar for dette? Eg er rimeleg sikker på at Datatilsynet ville vere fort oppe med bøteheftet.

Then they came for…

Viser til innlegget mitt – They came first for the… Apple fekk det heitt av mange etter lanseringa av dette. I etterkant har dei lagt ut eit ofte-stilte-spørsmål-dokument på sine sider. I det som vert lansert i USA, i første omgang, er det to problem sjølv om «brekkstanga» er sukra med eit heller nobelt formål:

  1. CSAM-deteksjon i iCloud Photos. (CSAM=Child Sexual Abuse Material)
    Her blir ein matematisk verdi kalkulert av bilete som du skal til å laste opp til iCloud. Det er ikkje mogleg å sjå bilete utifrå denne verdien. Han blir samanlikna med kalkulerte verdiar frå kjent overgrepsmateriale. Funksjonen er avgrensa til dei som nyttar iCloud som biletelagring. Brukar du ikkje iCloud til bilder vert du ikkje påvirka. Modifiserte versjonar av eit bilete skal få same verdi for å kunne fange opp same biletinnhaldet sjølv om bilete blir tilpassa ulike format (f.eks. 16:9 eller 3:4), fargejustert eller får endra oppløysing.
  1. Kommunikasjonssikkerhet i Messages (iMessage, SMS og SMS)
    Eit verktøy for foreldre for å beskytte ungar (inntil 17 år) mot å sende og motta nakenbilder i meldingene. Det er avhengig av at du har sett opp familiedelingen for familene din. Bileta blir analysert på einingen og ikkje samanlikna med andre. Om ein barnekonto sender eller mottek det som algoritma meinar kan vere eit nakenbilde, blir bilete uskarpt og ungen åtvara, presentert med nyttige ressursar og forsikra om at det er greit om dei ikkje vil sjå eller sende bilete. For ungar 12 år og yngre kan det setjast opp slik at foreldra får beskjed dersom ungen ser på bilete.

I begge tilfella er det snakk om overvaking på einingen (iPad, iPhone, Mac’ar). I denne omgang vert nr 1 brukt til å identifisere kjent overgrepsmateriale. Slikt er ulovleg og folk som distruberer slik treng å få ein tenkepause i eit avlukke. Men eg ser for meg at teknologien i neste omgang kan bli brukt til å identifisere f.eks. åndsverk (bilete osv.) Du tek vare eller sender materiale du ikkje har lov å gjere. De som har nokre år på baken veit kort hardt musikkindustrien stritta mot internett. Sjå føre deg at du lastar opp eller sender bilete eller andre mediefiler. Systemet indentifiserer at du har gjort fleire bort på åndsverkslover (les pirat), stenger kontoen din og melder deg til politiet. Du synes det kanskje er perifert, men ånda er ute av flaska. I polariserte samfunn er det fort at noko slikt kan bli brukt til å identifisere oposisjonsmateriale under dekke at det er terroristmateriale. Dagleg har vi fått meldingar om kor nær USA var å ende opp som ein autoritær stat på slutten av 2020, byrjinga av 2021.

Når deg gjeld 2, ser eg for meg at det vil fort blir obligatorisk. I USA taklar dei ikkje brystvorter. Småbarnsfamiliar tek bilete av barn med og utan klede. Poden leikar naken i strandkanten eller ved oppblåsbare bassenget. Du tek bilete når du badar dei, steller dei eller når dei er sjuke og fulle av vannkoppar. Nokon sender du til besteforeldre og vener. Systemet trur det er fy-bilder og gjer dei diffuse. Lure på kva anna som kan verte ansett å vere for tungt for «sarte sjeler» i desse «krenke-tider» og sensurert «automagisk».

Apple har vist kva dei kan få til. Når dei blir pressa av ulike aktørar, har eg vanskeleg for å sjå at nei er eit alternativ.

EU undergrev personvernet og menneskerettar

Eg kom over artikkelen EUs nødlov mot barnemishandling… hos digi.no. EU legg opp til at ein leverandørar skal kunne overvåke personlig e-post og meldingar med formål å avdekke barnemishandling. EU skal i september stemma over eit framlegg som krev at krypterte kommunikasjonstenester skal ha ei bakdør. Dersom det blir vedteke, vil nokon kunne sitje å ha tilgang til all kommunikasjon som flyt gjennom ei teneste uavhengig av kor godt han ellers er sikra.

Eg minner om menneskerettane EU har vedteke i Charter of fundamental rights of the European Union:

Article 6
Right to liberty and security
Everyone has the right to liberty and security of person.

Article 7
Respect for private and family life
Everyone has the right to respect for his or her private and family life, home and communications.

Article 8
Protection of personal data
1. Everyone has the right to the protection of personal data concerning him or her.

2. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.

3. Compliance with these rules shall be subject to control by an independent authority.

Her ligg EU an til å kaste menneskerettar på båten fordi ein meinar at ein har ei lur løysing for å bekjempe overgrep mot barn. Som Jon Wessel-Aas, leiar i advokatforeninga, er inne på kan ein ikkje uthole kommunikasjonsvernet på denne måten, utan at det samtidig rammar alle sin rett til fortruleg kommunikasjon, ei forutsetning for eit fungerande demokrati. Sikre kommunikasjonstenester er nødvendige for det enkelte individ, verksemder og myndigheiter. Opprettar ein bakdører i tenester er ikkje tenesta sikker for nokon lenger.

Eg kan dra fram eit praktisk eksempel. For 5-6 år sidan la Transport Security Administration (TSA) ut eit bilete av nøklane som gjer at toll på flyplassane kan opne din koffert for å sjekke innhaldet utan at du er tilstades. No har alle som vil tilgang til nøklane, du finn oppskrifta på dei på GitHub. Alt du treng er tilgang til ein 3D-printar.

I praksis betyr det at kven som helst kan låse opp din koffert og nappe ut verdisaker. Det mest skremmande for de som reiser verda rundt er det at nokon, i ein periode du ikkje har kontroll på kofferten, kan opne kofferten legge inn narkotika for at nokon på flyplassen kofferten skal til skal ta det ut. Planen går skeis, mottakar blir akutt sjuk og får ikkje teke ut det som vart lagt i kofferten og du blir mistenkt for narkotikasmugling. Vi får håpe at det skjer i eit land med eit velfungerande rettvesen og ikkje i eit land med skinn-rettar eller religiøse lover… God reise!

EUs nye SCC endrar ikkje noko

Eg viser til mine tidligare postingar om Schrems II-domen:

4. juni kom det nye Standard Contractual Clauses for internasjonale overføringar. Eg har lese gjennom Annex to the COMMISSION IMPLEMENTING DECISION on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679. Rull ned til side 22, SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES og Clause 14 Local laws and practices affecting compliance with the Clauses.

(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.

Her skal handsamingsansvarleg og datahandsamar garantere at datahandsamar ikkje kan bli pålagt å utlevere i strid med GDPR og menneskerettane i EU. Det krev ei stor innsikt i både lovverk og praksis i landet (utanfor den europeiske sone eller land med tilstrekkelegheitserklæring for personvern).

Eg har utheva ei setning som eg meinar har relevans med tanke på amerikanske selskap. Om ikkje eg hugsar feil fastslo EU Court of Justice (EUCJ) at overvakinga i USA exceed what is necessary and proportionate in a democratic society. Domen slo fast at overvakingslovene i USA er eit brot på GDPR og menneskerettane nedfelt i mennesrettscharteret i EU. Vi veit dermed at det for amerikanske selskap/konsern (Microsoft, Google, Apple, Oracle osv.) ikkje vil vere mogleg å kunne garantere noko i tråd med Clause 14.

Eg registrerer også at ein har fått inn ei fotnote 12 som strekker seg over nederste del av side 22 og 23:

As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.

Eg har utheva noko sidan innsyn etter Foreign Surveillance Act (FISA) ikkje legg til rette for varsling av handsamingsansvarleg eller objektet/personen etterretninga vil ha innsyn i, slik at ein kan bestride innsynet i ein rett. Verksemda vil(/kan) bli pålagt «gag order» som gjer at dei har teieplikt om innsyn. Ergo kan ein heller ikkje rapportere at det har vore innsyn.

Oppsummering:

  • Amerikanske tenester kan ikkje brukast til å handsame persondata (i klartekst), sjølv med nye SCC.
  • USA må endre sine overvakingslover før det kan bli lovleg.
  • I praksis må du bruke skytenester fullt ut eigd og levert innafor det europeiske økonomiske område (EEA) eller i land med tilstrekkelegheitserklæring for personvern. For alle andre stadar vert det kravd omfattande innsikt, forståing og dokumentasjon av lov og praksis i landet til datahandsamar og eventuelt landet der datahandsaminga finn stad i, til at det vil vere for kostnads- og tidskrevande å kartlegge og følgje opp for mange verksemder.

Visma in School bryt med GDPR

Eg ser Visma in School vart omtalt på Digi i dag. Eg har skrive mykje om følgjene av Schrems II-domen og det at ein i noverande rettstilstand i praksis fins ingen gode tiltak som gjer at ein kan ta i bruk amerikanskeigde skytenester. Først sjekka eg personvernerklæringa til Visma. Inndelinga «Når benytter vi underleverandører» var veldig vag.

Ved bruk av underleverandører vil Visma inngå en databehandleravtale (DBA) for å beskytte dine rettigheter til personvern i henhold til gjeldende personvernlovgivning. Dersom underleverandører befinner seg utenfor EU, vil Visma sørge for at det inngås gyldige overføringsmekanismer med disse på dine vegne ved å benytte ordninger godkjent av EU kommisjonen, herunder EU Model Clauses.

For å identifisere kor løysinga køyrer, sjekka eg kor lillehammernord-vgs.inschool.visma.no tok meg. IP-adressa er 34.241.207.162. Ho høyrer til EU West 1 til Amazon som geografisk har tilhøyr i Dublin, Irland. Amazon er eit amerikansk selskap som er underlagt amerikanske lover.

Eg gjekk vidare og såg på lenka knytt til Schrems 2 og tiltak. Her rotar Visma til bildet med å dra inn CLOUD act. Problemet ligg i FISA (Foreign Surveillance Act). I FISA er det ingen uavhengig dommar som tek stilling til om etterretninga kan pålegge ein amerikansk «electronic communications service provider», som Amazon, å utlevere informasjon. Dersom etterretning har behov for informasjon om individ, kan dei instruere selskapet til å hente ut informasjon kor som helst den er i verda på selskapet sine serverar. Leverandøren blir pålagt ein «gag order» som gjer at dei ikkje kan informere om dette til nokon, inkludert individet eller for den del Visma, om dei finn informasjonen i deira tenester.

Det er ikkje noko som tydar på at Visma har på plass tekniske tiltak for å sikre informasjonen mot innsyn. EDPB i si rettleiing Use Case 6 – handsaming av informasjon i klartekst/ukryptert – er tydeleg på at i slike tilfeller fins det ikkje tekniske tiltak. Ein kan ikkje avtale seg vekk frå den amerikanske lova, det er difor eit nødvende at ein har på plass tekniske tiltak som kryptering og/eller pseudonymisering.

  • Mi vurdering er at Visma in School med stort sannsyn er ei teneste som er i strid med GDPR.

Ei bonussak er at opplæringsportalen er levert på inschool.zendesk.com. Om du sjekkar IP-adressa – 104.16.53.111 – vil du sjå at trafikken vert sendt gjennom den amerikanske trafikkstyringstenesta Cloudflare. Dette blir vanlegvis gjort for å sikre tenesta si mot ulike former for skadelege angrep, som tenestenektangrep (DDoS). IP-adressa ser ut til å vere geografisk plassert i USA, som betyr at du i tillegg til å sende via ein leverandør underlagt FISA, også sender trafikk til USA. Executive Order 12 333, som FRA-lova i Sverige, gjer at ein kan avlytte trafikk inn til landet/USA. Metadata rundt trafikken kan plukkast opp. Etterretning for medlemsland innanfor EU/EEA er unnateke etter GDPR artikkel 23. USA og mange andre land er ikkje med i EU/EEA. Dersom TLS, på grunn av djup pakkeinspeksjon, blir terminert hos Cloudflare, vil trafikken mellom Cloudflare og sluttenesta kunne vere lesbar for Cloudflare og kan då bli samla inn etter FISA. Det kan leggast til at Zendesk er eit amerikansk selskap. Lista ligg ikkje høgt for å koma inn under omgrepet «electronic communications service provider» som gjer at dei kjem inn under FISA.

  • Einaste løysinga er at USA endrar sine lover, før vi kan bruke tenestene lovleg.

Eg held ikkje pusten!

Kva vil Datatilsynet?

Eg viser til mine tidlegare postingar rundt Schrems II-domen og personvernrådet i Europa (EDPB) sine tilrådingar:

EU har vore tydeleg i dommen og i etterkant:

…must ensure that the data subject is granted a level of protection essentially equivalent to that guaranteed by the General Data Protection Regulation (GDPR) and the EU Charter of Fundamental Rights (CFR) – if necessary with additional measures to compensate for lacunae in protection of thirdcountry legal systems. Failing that, operators must suspend the transfer of personal data outside the EU.

… Furthermore, the EDPB announced that it will not suspend enforcement for a regulatory grace period.

EDPB, som Datatilsynet i Norge er medlem av, er krystallklare i talen. Ein har ikkje innvilga nokon form for friperiode. Greier ein ikkje å etablere eit tilsvarande nivå som innafor EU, må ein avslutta overføring av data til USA-baserte/-eigde tenester. Basert på tilrådinga fra EDPB, er det ingen moglegheit å sikre informasjon på nemde tenester og stette kravet som er sett. Datatilsynet i Norge er utydelege, men kanskje vi kan sjå eit par lyspunkt frå dei.

Det første lyspunktet finn eg i breva frå Datatilsynet til kommunane dei kontrollerte bruken av G-Suite for Education i skulen. Breva er datert 7. desember 2020, nesten 5 månadar etter domen og 1 månad etter utkast til tilrådingar frå EDPB vart publisert. Etter å ha skumma breva, er det ein ting eg har bite meg merke til: Datatilsynet har ikkje skrive at kommunane skal avslutte bruken av G-Suite for Education.

Det andre lyspunktet er rettleiaren for bruk av Google Chromebook og G Suite for Education (og andre skytenester) i grunnskulen. Dei har utarbeidd ei rettleiing for ei USA-basert/-eigd teneste som etter mi, og mange andre si, forståing av Schrems II-domen og EDPB sine tilrådingar, ikkje kan levere tilstrekkeleg personvern og er i strid med EU sitt lovverk. Personinformasjon vil kunne hentast ut av amerikansk etterretning, f.eks. etter PRISM-paragrafen, som gjer at etterretninga kan pålegge Google å hente ut informasjon som ligg kor som helst i verda på Google sine tenester.

Før du blir blenda av lyset, skal eg like godt blåse det ut. Datatilsynet har lagt til grunn ei tilnærming som er risikobasert. Slik det står no frå EU er det ikkje anledning å gjere ei risikobasert tilnærming. Ergo framstår Datatilsynet i Norge sine handlingar som mildt sagt forvirrande, når alt er avhengig av ei politisk løysing. USA må endre sine lover slik at USA-baserte/-eigde tenester kan levere tilstrekkeleg personvern.