Backup kom til sin rett, nok ein gong

Eg har ståande ein liten filserver med Openmediavault. Han køyrer også Syncthing som gjer at eg kan synkronisere mapper mellom fleire datamaskiner. Du brukar GoogleDrive, Dropbox eller OneDrive. Eg brukar mi eiga sikre synkroniseringsløysing ståande hos meg.

Under synkronisering i går kveld, var det ei av maskinene som sleit med å ned eit par filer, ei av dei var eit bilete. Eg kopla meg på filområdet det vert synkronisert til. Når eg forsøkte å opna bilete, klaga biletprogrammet på at det var feil på fila. Her var det noko gale, for fila var OK på backup og for den del ei anna maskin.

Eg logga meg på administrasjonsgrensesnittet til Openmediavault og sjekka helsa på diskane. Det lyste raudt – prefail – på disken med operativsystemet og synkroniseringsområdet. Det er eit klart varsel på at disken må skiftast så snart som råd. Eg hadde liggande ein disk i reserve og starta maskina frå USB med Parted Magic. Ved hjelp av ddrescue, over natta til i dag spegla, eg den gamle disken over til den nye. Når eg stod att i dag tidleg, var alt spegla. ddrescue hadde funne 75 feil på disken. No gjorde han nokre forsøk på å lese områda med feil, for å prøve å hente ut data.

Etter at eg var ferdig på arbeid i dag, tok eg ein siste sjekk mot backup-området. Sluttresultatet var at det var 3 filer som hadde vorte korrupte av den feilande disken. Desse vart erstatta med kopiar som det ikkje er feil på. Det står att å handle inn ein ny disk til å ha i reserve. Som ein skigard, varer ein disk ikkje evig:

976759807 KB total disk space.
34596 KB in 8 files.
72 KB in 14 indexes.
5112 KB in bad sectors.
96015 KB in use by the system.
65536 KB occupied by the log file.
976624012 KB available on disk.

Then they came for…

Viser til innlegget mitt – They came first for the… Apple fekk det heitt av mange etter lanseringa av dette. I etterkant har dei lagt ut eit ofte-stilte-spørsmål-dokument på sine sider. I det som vert lansert i USA, i første omgang, er det to problem sjølv om «brekkstanga» er sukra med eit heller nobelt formål:

  1. CSAM-deteksjon i iCloud Photos. (CSAM=Child Sexual Abuse Material)
    Her blir ein matematisk verdi kalkulert av bilete som du skal til å laste opp til iCloud. Det er ikkje mogleg å sjå bilete utifrå denne verdien. Han blir samanlikna med kalkulerte verdiar frå kjent overgrepsmateriale. Funksjonen er avgrensa til dei som nyttar iCloud som biletelagring. Brukar du ikkje iCloud til bilder vert du ikkje påvirka. Modifiserte versjonar av eit bilete skal få same verdi for å kunne fange opp same biletinnhaldet sjølv om bilete blir tilpassa ulike format (f.eks. 16:9 eller 3:4), fargejustert eller får endra oppløysing.
  1. Kommunikasjonssikkerhet i Messages (iMessage, SMS og SMS)
    Eit verktøy for foreldre for å beskytte ungar (inntil 17 år) mot å sende og motta nakenbilder i meldingene. Det er avhengig av at du har sett opp familiedelingen for familene din. Bileta blir analysert på einingen og ikkje samanlikna med andre. Om ein barnekonto sender eller mottek det som algoritma meinar kan vere eit nakenbilde, blir bilete uskarpt og ungen åtvara, presentert med nyttige ressursar og forsikra om at det er greit om dei ikkje vil sjå eller sende bilete. For ungar 12 år og yngre kan det setjast opp slik at foreldra får beskjed dersom ungen ser på bilete.

I begge tilfella er det snakk om overvaking på einingen (iPad, iPhone, Mac’ar). I denne omgang vert nr 1 brukt til å identifisere kjent overgrepsmateriale. Slikt er ulovleg og folk som distruberer slik treng å få ein tenkepause i eit avlukke. Men eg ser for meg at teknologien i neste omgang kan bli brukt til å identifisere f.eks. åndsverk (bilete osv.) Du tek vare eller sender materiale du ikkje har lov å gjere. De som har nokre år på baken veit kort hardt musikkindustrien stritta mot internett. Sjå føre deg at du lastar opp eller sender bilete eller andre mediefiler. Systemet indentifiserer at du har gjort fleire bort på åndsverkslover (les pirat), stenger kontoen din og melder deg til politiet. Du synes det kanskje er perifert, men ånda er ute av flaska. I polariserte samfunn er det fort at noko slikt kan bli brukt til å identifisere oposisjonsmateriale under dekke at det er terroristmateriale. Dagleg har vi fått meldingar om kor nær USA var å ende opp som ein autoritær stat på slutten av 2020, byrjinga av 2021.

Når deg gjeld 2, ser eg for meg at det vil fort blir obligatorisk. I USA taklar dei ikkje brystvorter. Småbarnsfamiliar tek bilete av barn med og utan klede. Poden leikar naken i strandkanten eller ved oppblåsbare bassenget. Du tek bilete når du badar dei, steller dei eller når dei er sjuke og fulle av vannkoppar. Nokon sender du til besteforeldre og vener. Systemet trur det er fy-bilder og gjer dei diffuse. Lure på kva anna som kan verte ansett å vere for tungt for «sarte sjeler» i desse «krenke-tider» og sensurert «automagisk».

Apple har vist kva dei kan få til. Når dei blir pressa av ulike aktørar, har eg vanskeleg for å sjå at nei er eit alternativ.

They came first for the…

Eg startar innlegget med eit dikt frå ei dyster tid i forrige århundre. Det illustrerer kva som skjer når ein apatisk aksepterer at små bitar av vårt handlingsrom blir fjerna. Brått er dagen komen der det er deg dei er på jakt etter:

Pastor Martin Niemoeller

I ein rettsstat er ein uskuldig inntil det motsette er prova. Så lenge ein er uskuldig har ein ikkje rett til å overvake ditt daglege liv. Dersom politiet får mistanke om at du driv på med noko kriminelt, kan dei gå til ein domstol med sine førebelse bevis eller indikasjonar. Domstolen kan avvise eller gi politiet rett til å ransake og eventuelt overvake deg for å samle bevis til ei eventuell rettsak der ein domstol tek stilling til om du du er strafferettsleg skuldig eller uskuldig etter anklage. Det er stor fare for at denne måten no vert undergreven og vi vil kome til å leve i eit overvakingssamfunn der det minste feiltrinn blir prompte slått ned på og straffa.

Først vil eg berra ha sagt at at mishandling og misbruk av barn er forkastleg og ulovleg. Slikt må straffast, men samtidig er eg sterkt ueinig i framgangsmåtar som no er på bordet frå politikarar og verksemder. Poltikarane ønskjer seg bakdører i sikker kommunikasjon. Apple legg til rette for å skanne alle dine foto du har lagra på utstyret ditt.

At tilbydarar har bruksvilkår for sine skytenester er greitt. Dei er i sin fulle rett til å setje rammer for kva som er akseptabelt i iCloud osv. I vinter hadde vi tenesta Parler som gjentekne gonger braut vilkåra til Amazon Web Services og vart utestengt frå deira plattform.

Eg har hatt nettsider sidan før tusenårsskiftet. For 14 år sidan flytta eg innhaldet mitt på ei Microsoft-teneste, som seinare vart lagt ned slik at eg enda opp på WordPress. Eit av bileta, som aldri hadde vore eit problem for norsk tenesteleverandør, vart identifisert av ei algoritme hos Microsoft til å vere i strid med vilkåra deira og eg vart beden om å fjerne det.

Det som er er spesielt med Apple er at dei vil flytte overvakinga frå skya og ned til dine einingar – Apple MacBook, iPad, iPhone, Watch osv., https://www.apple.com/child-safety/:

Apple’s method of detecting known CSAM* is designed with user privacy in mind. Instead of scanning images in the cloud, the system performs on-device matching using a database of known CSAM image hashes provided by NCMEC and other child safety organizations. Apple further transforms this database into an unreadable set of hashes that is securely stored on users’ devices.

* Child Sexual Abuse Material

I motsetning til Parler og eg, som hadde lagt offentlige tilgjengeleg informasjon på tenester som streid mot vilkår, vil Apple skanne dine private bilete som ligg på dine private einingar. Bileta blir prosessert lokalt av ei avansert algoritme som genererer ein matematisk verdi, også kalla hash, av bilete. Verdien blir samanlikna verdiar generert frå kjent «problematisk media»:

The system, called neuralMatch, will “proactively alert a team of human reviewers if it believes illegal imagery is detected, who would then contact law enforcement if the material can be verified,” the Financial Times said. neuralMatch, which was trained using 200,000 images from the National Center for Missing & Exploited Children, will roll out first in the US. Photos will be hashed and compared with a database of known images of child sexual abuse.

“According to people briefed on the plans, every photo uploaded to iCloud in the US will be given a ‘safety voucher,’ saying whether it is suspect or not,” the Financial Times said. “Once a certain number of photos are marked as suspect, Apple will enable all the suspect photos to be decrypted and, if apparently illegal, passed on to the relevant authorities.”

The Verge

So bra – tommel opp, seier du. Vent, seier eg. Mitt bilete på ei nettsideteneste frå Microsoft vart fanga opp av ei algoritme som mellom anna baserte seg på andel hudfargar i bilete. Sjølve bilete viste ein barnerygg, hardt angrepen av vannkoppar i lindrande bad, utan at ein kunne identifisere kven dette var. Algoritmane til Apple vil eg tru har kome mykje lengre enn dei ein hadde for over 10 år sidan, men her er det prinsippet eg er i mot. Det blir berre heilt feil å sei at alle er skuldige, ergo må vi overvåke dei for å prove at dei er uskuldige.

Vi tek masse bilete med telefonane sine. Småbarnsfamiliar har bilete av barn med og utan klede. Poden leikar naken i strandkanten eller ved oppblåsbare bassenget. Du tek bilete når du badar dei, steller dei eller når dei er sjuke og fulle av vannkoppar. Nokon sender du til besteforeldre og dine vener, men det meste er held du privat for deg. Sjølv om du ikkje brukar Apple sin skyteneste iCloud, vil Apple kontrollere alle bileta mot problematisk materiale. Eg har sett litt på den tekniske overordna skildringa:

The main purpose of the hash is to ensure that identical and visually similar images result in the same hash, and images that are different from one another result in different hashes. For example, an image that has been slightly cropped or resized should be considered identical to its original and have the same hash.

Apple

Legg merke til at ein går på visuelle i bilete. Ein svart/kvitt-versjon av same bilete generer tilsvarande hash. I tillegg vil same bilete litt skore til eller med endra oppløysing få same hash.

I dokumentet eg lenka til er det forklart korleis ein kjem fram til det, men forklaringa «går meg hus forbi». Slik eg ser det vil det vere ei måling av forhold mellom punkt eller former i bilete uavhengig av fargar. Forholdet vil eksistere sjølv om ein endrar oppløysing på bilete og dersom ein har eit stort nok sett med slike målepunkt, gjer det ikkje noko om ytterkantar av bilete er tilpassa, f. eks. 16:9 kontra 4:3-storleik.

Det næraste eg kan tenkje med er at det blir noko tilsvarande ansiktsgjenkjenninga på iPhone, tilrettelagt for bilete. Med identiske tvillingar har eg god erfaring med gjenkjenningssystem anten dei kjem frå Apple, Microsoft eller blir nytta i passkontrollen. 4 av 4 system vi har testa har feila på å skilje tvillingane frå kvarandre. Systema er ikkje i tvil, dei ser same person uavhengig av kven av tvillingane dei ser på. Tenk på det når dine bilete skal analyserast.

Denne gongen vil dei ha kontroll på bileta dine, neste gong går dei etter meiningane dine. Dette er ein autokrats våte draum. Eg kan ikkje fatte at Apple, som ein tilsynelatande fanebærar av personvernet i vanskelege tider, har lete seg forlede til å utarbeide noko slikt.

Bakdører i kommunikasjonstenester = Pegasus

I mitt forrige innlegg sa eg kva eg meiner om EUs sitt framlegg til å undergrave tryggleiken for oss alle som individ. Ingen årsak er god nok til å skjere alle over same kam. På same tid verserer ei sak i media om programvaren Pegasus:

Pegasus er programvare levert av NSO Group. Selskapet har kjøpt eller funne svakheiter i operativsystema Android og iOS, som det meste av mobile einingar nyttar. Dette er svakheiter (zero day) som Google og Apple ikkje veit om og dermed er det vanskeleg å vite kva som må fiksast. Sidan NSO Group treng det for å levere produktet sitt, held dei korta tett til sitt bryst for å ikkje miste svakheitene dei utnyttar.

Svakheitene gjer at ein med ei melding kan lure brukar til å klikke på ei lenke. Nyare versjonar av Pegasus kan installerast utan at målet merkar det. Artikkelen påpeikar at dagens Apple iOS 14.x er sårbar for dette angrepet. No har 14.7 kome, men den er også sårbar. Når det kjem ei oppdatering som rettar feila Pegasus utnyttar, vil NSO Group , endre Pegasus til å nytte andre svakheiter som ikkje er kjente. Har dei slike svakheiter i bakhand, vil det gå raskt. Må dei finne nye kan det ta tid. Om du les artikkelen frå Kaspersky, vil du sjå at svakheitene som vart nytta tilbake i 2016/17 vart lukka med Apple iOS 9.3.5.

Pegasus vert installert på eit så lågt nivå av operativsystemet at det har tilgang til innhald i tenester og appar som køyrer på eit høgare nivå. I praksis er Pegasus ei bakdør som gir tilgang til alt, tydeleg illustrert i artikkelen til The Guardian:

Pegasus (Guardian)
Kjelde: The Guardian

NSO Group har som mål eller intensjon å selje Pegasus berre til myndigheiter som bistand til spore terroristar og kriminelle. Men om du ser på lenkene over kan det virke som at myndigheiter har vorte vel ivrige og overvaka smarttelefoner tilhøyrande journalistar, menneskerettighetsaktivister, forretningsleiarar, presidentar, og to kvinner i sfæren til myrda saudiarabisk journalist Jamal Khashoggi. Det minner meg om eit ordtak eg høyrde for lenge sidan:

One man’s terrorist is another man’s freedom fighter

Saka viser korleis bakdører kan misbrukast og vil garantert bli misbrukte. Eg stiller difor spørsmålet:

EU undergrev personvernet og menneskerettar

Eg kom over artikkelen EUs nødlov mot barnemishandling… hos digi.no. EU legg opp til at ein leverandørar skal kunne overvåke personlig e-post og meldingar med formål å avdekke barnemishandling. EU skal i september stemma over eit framlegg som krev at krypterte kommunikasjonstenester skal ha ei bakdør. Dersom det blir vedteke, vil nokon kunne sitje å ha tilgang til all kommunikasjon som flyt gjennom ei teneste uavhengig av kor godt han ellers er sikra.

Eg minner om menneskerettane EU har vedteke i Charter of fundamental rights of the European Union:

Article 6
Right to liberty and security
Everyone has the right to liberty and security of person.

Article 7
Respect for private and family life
Everyone has the right to respect for his or her private and family life, home and communications.

Article 8
Protection of personal data
1. Everyone has the right to the protection of personal data concerning him or her.

2. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.

3. Compliance with these rules shall be subject to control by an independent authority.

Her ligg EU an til å kaste menneskerettar på båten fordi ein meinar at ein har ei lur løysing for å bekjempe overgrep mot barn. Som Jon Wessel-Aas, leiar i advokatforeninga, er inne på kan ein ikkje uthole kommunikasjonsvernet på denne måten, utan at det samtidig rammar alle sin rett til fortruleg kommunikasjon, ei forutsetning for eit fungerande demokrati. Sikre kommunikasjonstenester er nødvendige for det enkelte individ, verksemder og myndigheiter. Opprettar ein bakdører i tenester er ikkje tenesta sikker for nokon lenger.

Eg kan dra fram eit praktisk eksempel. For 5-6 år sidan la Transport Security Administration (TSA) ut eit bilete av nøklane som gjer at toll på flyplassane kan opne din koffert for å sjekke innhaldet utan at du er tilstades. No har alle som vil tilgang til nøklane, du finn oppskrifta på dei på GitHub. Alt du treng er tilgang til ein 3D-printar.

I praksis betyr det at kven som helst kan låse opp din koffert og nappe ut verdisaker. Det mest skremmande for de som reiser verda rundt er det at nokon, i ein periode du ikkje har kontroll på kofferten, kan opne kofferten legge inn narkotika for at nokon på flyplassen kofferten skal til skal ta det ut. Planen går skeis, mottakar blir akutt sjuk og får ikkje teke ut det som vart lagt i kofferten og du blir mistenkt for narkotikasmugling. Vi får håpe at det skjer i eit land med eit velfungerande rettvesen og ikkje i eit land med skinn-rettar eller religiøse lover… God reise!

Tur: Eitorn til Kluke

Start i Eitorn, eit par kilometer frå Hella ferjekai. Følg kjerrevegen mot Eitun. Fleire av bygningane på Eitun kollapsar. Det kan vere lurt å lytte og følgje med når du går gjennom tunet. På andre sida går du inn på stien som tek deg oppover forbi dei gamle husmannsplassane: Bustadstykkje og Trodlahaugen.

Like over Trodlahaugen følgjer du stien oppover til Myrsete. Heile turen til Myrsete er bratt. Frå du står i vegen i Eitorn til du er oppe, skal du gjere unna nesten 600 høgdemeter. Utsikt er avgrensa, men eit stykke oppi kjem du til eit berg med benkar med utsikt over Eitorn og Vestrheim.

Det er framleis eit stykke til du er på Myrsete, men du veit du nærmar deg når du byrjar å høyre elva. Oppe på Myrsete er det utsikt ut over fjorden. Ta inn inntrykket før du snur deg nordover og held fram, inn Kvinnedalen. Denne delen er langt slakare. Mellom Myrsete og Nyanstøl er det berre snakk om nesten 200 høgdemeter.

Like etter Myrsete får du ein liten pause frå skogen i linjetrasseen. I aust tronar både Mælen og Hest. I vest ser du Storholten og Vassvarden. Du held fram inn i skogen, men får like etterpå utsikt over stølsområdet Kluke. Området gir deg utsikt over fjorden, Vangsnes, Vik og Balestrand og du kan følgje med på båt- og ferjetrafikken i området.

Tur: Eitorn til Myrsete

Start i Eitorn, eit par kilometer frå Hella ferjekai. Følg kjerrevegen mot Eitun. Fleire av bygningane på Eitun kollapsar. Det kan vere lurt å lytte og følgje med når du går gjennom tunet. På andre sida går du inn på stien som tek deg oppover forbi dei gamle husmannsplassane: Bustadstykkje og Trodlahaugen.

Like over Trodlahaugen følgjer du stien oppover til Myrsete. Heile turen til Myrsete er bratt. Frå du står i vegen i Eitorn til du er oppe, skal du gjere unna nesten 600 høgdemeter. Utsikt er avgrensa, men eit stykke oppi kjem du til eit berg med benkar med utsikt over Eitorn og Vestrheim.

Det er framleis eit stykke til du er på Myrsete, men du veit du nærmar deg når du byrjar å høyre elva. Oppe på Myrsete er det utsikt ut over fjorden og kan følgje med på båt- og ferjetrafikken.

Déjà vu – allerede sett

Déjà vu – allerede sett – eg er so gamal at eg forelder til ungar som er i eller nærmare seg 20-åra. Weird Al Yankovic var ein kar eg vart merksam på etter å ha sett filmen UHF. Eg kjøpte ein del CDar med parodiar av sanger frå andre artistar. Mykje var utruleg bra som «Like a surgeon» til «Beat It» og «Bad» .

Når eg sat ved bordet for 30+ år sidan, traff sporet veldig bra. Når eg sit ved andre sida av bordet, som 50+, ser eg at han treff utruleg bra når mi rolle har endra seg. De får gjere dykk opp dykkar eigen meining, men tåler du ikkje satire og er hårsår stoppar du her.

Vil du høyre meir, har han eigen Youtube-kanal

Nytt liv i utgått produkt

Eg har i lang tid vore brukar av D-link nettverksprodukt. Min D-link DIR-880L var lenge ein favoritt med topp hastigheit på 802.11ac trådlaust nettverk. Problemet var at D-link i Europa byrja å bli dårlege med å oppdatere produktet. Siste oppdatering er frå 2016. Eg hoppa over til amerikansk firmware og der holdt dei ut eit par år til, men no er det slutt.

D-link DIR-880L vart skifta ut med ein Netgear for ca eitt år sidan. Heller ikkje den er nyaste modell, men i motsetning til D-link oppdaterer Netgear produktet jamnleg. Eg har ikkje trong for det nyaste sidan ingen av mine PCar har 802.11ax-nettverkskort. Kraftige 802.11ac-routerar er tilstrekkeleg for meg og dei andre i huset. Teams, Netflix- og Youtube-streaming med meir skapar ikkje problem.

D-link DIR-880L har lege som reserve dersom min nye router skulle ta kvelden. Eg har vore kjent med at det er ulike open source-versjonar av router-programvare på internett. Samtidig som eg sjekka for eit alternativ for den nye, når Netgear vel å droppe å støtta han, sjekka eg kva som kunne installerast på D-link DIR-880L. Eg fann dd-wrt.com.

Min D-link DIR-880L hadde nyaste amerikansk firmware. Dessverre gjekk det ikkje oppgradere frå den. Å nedgradere frå det ordinære grafiske grensesnittet går ikkje, men det fins ein nødmodus der du held inne reset og slår på routeren. Like etter byrjar ein LED å blinke. Du får tilgang til eit sterkt avgrensa web-grensesnitt og kunne nedgradere til siste versjon (2016) i Europa. Deretter var det berre å installere firmware frå dd-wrt.com via web-grensesnittet.

Eg skal vere den første til å innrømme at dd-wrt ikkje har eit enkelt grensesnitt. Det kan virke overveldande sidan det vert bakt inn mykje funksjonalitet som vanleg dødlege ikkje kjem til å bruke. Eg har noko meir innsikt i oppsett av nettverk og får gjort mine tilpassingar. I det store og heile skal det ikkje vere noko problem for deg heller. Du finn lett fram til oppsettet av trådlaust nettverk og kan legge inn namn og nøkkel for sikring.

Med ny firmware frå dd-wrt.com ser det ut til at den gamle routeren kan halde koken i mange år framover. Han er no konfigurert og konfigurasjonen er lagra slik at det er enkelt å legge han inn att dersom noko går skeis. No skal D-link DIR-880L stresstestast med 6 personar og x antal einingar pr person. Eg skal lova dykk at han skal få køyrt seg.

EUs nye SCC endrar ikkje noko

Eg viser til mine tidligare postingar om Schrems II-domen:

4. juni kom det nye Standard Contractual Clauses for internasjonale overføringar. Eg har lese gjennom Annex to the COMMISSION IMPLEMENTING DECISION on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679. Rull ned til side 22, SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES og Clause 14 Local laws and practices affecting compliance with the Clauses.

(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.

Her skal handsamingsansvarleg og datahandsamar garantere at datahandsamar ikkje kan bli pålagt å utlevere i strid med GDPR og menneskerettane i EU. Det krev ei stor innsikt i både lovverk og praksis i landet (utanfor den europeiske sone eller land med tilstrekkelegheitserklæring for personvern).

Eg har utheva ei setning som eg meinar har relevans med tanke på amerikanske selskap. Om ikkje eg hugsar feil fastslo EU Court of Justice (EUCJ) at overvakinga i USA exceed what is necessary and proportionate in a democratic society. Domen slo fast at overvakingslovene i USA er eit brot på GDPR og menneskerettane nedfelt i mennesrettscharteret i EU. Vi veit dermed at det for amerikanske selskap/konsern (Microsoft, Google, Apple, Oracle osv.) ikkje vil vere mogleg å kunne garantere noko i tråd med Clause 14.

Eg registrerer også at ein har fått inn ei fotnote 12 som strekker seg over nederste del av side 22 og 23:

As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.

Eg har utheva noko sidan innsyn etter Foreign Surveillance Act (FISA) ikkje legg til rette for varsling av handsamingsansvarleg eller objektet/personen etterretninga vil ha innsyn i, slik at ein kan bestride innsynet i ein rett. Verksemda vil(/kan) bli pålagt «gag order» som gjer at dei har teieplikt om innsyn. Ergo kan ein heller ikkje rapportere at det har vore innsyn.

Oppsummering:

  • Amerikanske tenester kan ikkje brukast til å handsame persondata (i klartekst), sjølv med nye SCC.
  • USA må endre sine overvakingslover før det kan bli lovleg.
  • I praksis må du bruke skytenester fullt ut eigd og levert innafor det europeiske økonomiske område (EEA) eller i land med tilstrekkelegheitserklæring for personvern. For alle andre stadar vert det kravd omfattande innsikt, forståing og dokumentasjon av lov og praksis i landet til datahandsamar og eventuelt landet der datahandsaminga finn stad i, til at det vil være for kostnads- og tidskrevande å kartlegge og følgje opp for mange verksemder.