Bakdører i kommunikasjonstenester = Pegasus

I mitt forrige innlegg sa eg kva eg meiner om EUs sitt framlegg til å undergrave tryggleiken for oss alle som individ. Ingen årsak er god nok til å skjere alle over same kam. På same tid verserer ei sak i media om programvaren Pegasus:

Pegasus er programvare levert av NSO Group. Selskapet har kjøpt eller funne svakheiter i operativsystema Android og iOS, som det meste av mobile einingar nyttar. Dette er svakheiter (zero day) som Google og Apple ikkje veit om og dermed er det vanskeleg å vite kva som må fiksast. Sidan NSO Group treng det for å levere produktet sitt, held dei korta tett til sitt bryst for å ikkje miste svakheitene dei utnyttar.

Svakheitene gjer at ein med ei melding kan lure brukar til å klikke på ei lenke. Nyare versjonar av Pegasus kan installerast utan at målet merkar det. Artikkelen påpeikar at dagens Apple iOS 14.x er sårbar for dette angrepet. No har 14.7 kome, men den er også sårbar. Når det kjem ei oppdatering som rettar feila Pegasus utnyttar, vil NSO Group , endre Pegasus til å nytte andre svakheiter som ikkje er kjente. Har dei slike svakheiter i bakhand, vil det gå raskt. Må dei finne nye kan det ta tid. Om du les artikkelen frå Kaspersky, vil du sjå at svakheitene som vart nytta tilbake i 2016/17 vart lukka med Apple iOS 9.3.5.

Pegasus vert installert på eit så lågt nivå av operativsystemet at det har tilgang til innhald i tenester og appar som køyrer på eit høgare nivå. I praksis er Pegasus ei bakdør som gir tilgang til alt, tydeleg illustrert i artikkelen til The Guardian:

Pegasus (Guardian)
Kjelde: The Guardian

NSO Group har som mål eller intensjon å selje Pegasus berre til myndigheiter som bistand til spore terroristar og kriminelle. Men om du ser på lenkene over kan det virke som at myndigheiter har vorte vel ivrige og overvaka smarttelefoner tilhøyrande journalistar, menneskerettighetsaktivister, forretningsleiarar, presidentar, og to kvinner i sfæren til myrda saudiarabisk journalist Jamal Khashoggi. Det minner meg om eit ordtak eg høyrde for lenge sidan:

One man’s terrorist is another man’s freedom fighter

Saka viser korleis bakdører kan misbrukast og vil garantert bli misbrukte. Eg stiller difor spørsmålet:

EU undergrev personvernet og menneskerettar

Eg kom over artikkelen EUs nødlov mot barnemishandling… hos digi.no. EU legg opp til at ein leverandørar skal kunne overvåke personlig e-post og meldingar med formål å avdekke barnemishandling. EU skal i september stemma over eit framlegg som krev at krypterte kommunikasjonstenester skal ha ei bakdør. Dersom det blir vedteke, vil nokon kunne sitje å ha tilgang til all kommunikasjon som flyt gjennom ei teneste uavhengig av kor godt han ellers er sikra.

Eg minner om menneskerettane EU har vedteke i Charter of fundamental rights of the European Union:

Article 6
Right to liberty and security
Everyone has the right to liberty and security of person.

Article 7
Respect for private and family life
Everyone has the right to respect for his or her private and family life, home and communications.

Article 8
Protection of personal data
1. Everyone has the right to the protection of personal data concerning him or her.

2. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.

3. Compliance with these rules shall be subject to control by an independent authority.

Her ligg EU an til å kaste menneskerettar på båten fordi ein meinar at ein har ei lur løysing for å bekjempe overgrep mot barn. Som Jon Wessel-Aas, leiar i advokatforeninga, er inne på kan ein ikkje uthole kommunikasjonsvernet på denne måten, utan at det samtidig rammar alle sin rett til fortruleg kommunikasjon, ei forutsetning for eit fungerande demokrati. Sikre kommunikasjonstenester er nødvendige for det enkelte individ, verksemder og myndigheiter. Opprettar ein bakdører i tenester er ikkje tenesta sikker for nokon lenger.

Eg kan dra fram eit praktisk eksempel. For 5-6 år sidan la Transport Security Administration (TSA) ut eit bilete av nøklane som gjer at toll på flyplassane kan opne din koffert for å sjekke innhaldet utan at du er tilstades. No har alle som vil tilgang til nøklane, du finn oppskrifta på dei på GitHub. Alt du treng er tilgang til ein 3D-printar.

I praksis betyr det at kven som helst kan låse opp din koffert og nappe ut verdisaker. Det mest skremmande for de som reiser verda rundt er det at nokon, i ein periode du ikkje har kontroll på kofferten, kan opne kofferten legge inn narkotika for at nokon på flyplassen kofferten skal til skal ta det ut. Planen går skeis, mottakar blir akutt sjuk og får ikkje teke ut det som vart lagt i kofferten og du blir mistenkt for narkotikasmugling. Vi får håpe at det skjer i eit land med eit velfungerande rettvesen og ikkje i eit land med skinn-rettar eller religiøse lover… God reise!

Nytt liv i utgått produkt

Eg har i lang tid vore brukar av D-link nettverksprodukt. Min D-link DIR-880L var lenge ein favoritt med topp hastigheit på 802.11ac trådlaust nettverk. Problemet var at D-link i Europa byrja å bli dårlege med å oppdatere produktet. Siste oppdatering er frå 2016. Eg hoppa over til amerikansk firmware og der holdt dei ut eit par år til, men no er det slutt.

D-link DIR-880L vart skifta ut med ein Netgear for ca eitt år sidan. Heller ikkje den er nyaste modell, men i motsetning til D-link oppdaterer Netgear produktet jamnleg. Eg har ikkje trong for det nyaste sidan ingen av mine PCar har 802.11ax-nettverkskort. Kraftige 802.11ac-routerar er tilstrekkeleg for meg og dei andre i huset. Teams, Netflix- og Youtube-streaming med meir skapar ikkje problem.

D-link DIR-880L har lege som reserve dersom min nye router skulle ta kvelden. Eg har vore kjent med at det er ulike open source-versjonar av router-programvare på internett. Samtidig som eg sjekka for eit alternativ for den nye, når Netgear vel å droppe å støtta han, sjekka eg kva som kunne installerast på D-link DIR-880L. Eg fann dd-wrt.com.

Min D-link DIR-880L hadde nyaste amerikansk firmware. Dessverre gjekk det ikkje oppgradere frå den. Å nedgradere frå det ordinære grafiske grensesnittet går ikkje, men det fins ein nødmodus der du held inne reset og slår på routeren. Like etter byrjar ein LED å blinke. Du får tilgang til eit sterkt avgrensa web-grensesnitt og kunne nedgradere til siste versjon (2016) i Europa. Deretter var det berre å installere firmware frå dd-wrt.com via web-grensesnittet.

Eg skal vere den første til å innrømme at dd-wrt ikkje har eit enkelt grensesnitt. Det kan virke overveldande sidan det vert bakt inn mykje funksjonalitet som vanleg dødlege ikkje kjem til å bruke. Eg har noko meir innsikt i oppsett av nettverk og får gjort mine tilpassingar. I det store og heile skal det ikkje vere noko problem for deg heller. Du finn lett fram til oppsettet av trådlaust nettverk og kan legge inn namn og nøkkel for sikring.

Med ny firmware frå dd-wrt.com ser det ut til at den gamle routeren kan halde koken i mange år framover. Han er no konfigurert og konfigurasjonen er lagra slik at det er enkelt å legge han inn att dersom noko går skeis. No skal D-link DIR-880L stresstestast med 6 personar og x antal einingar pr person. Eg skal lova dykk at han skal få køyrt seg.

EUs nye SCC endrar ikkje noko

Eg viser til mine tidligare postingar om Schrems II-domen:

4. juni kom det nye Standard Contractual Clauses for internasjonale overføringar. Eg har lese gjennom Annex to the COMMISSION IMPLEMENTING DECISION on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679. Rull ned til side 22, SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES og Clause 14 Local laws and practices affecting compliance with the Clauses.

(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.

Her skal handsamingsansvarleg og datahandsamar garantere at datahandsamar ikkje kan bli pålagt å utlevere i strid med GDPR og menneskerettane i EU. Det krev ei stor innsikt i både lovverk og praksis i landet (utanfor den europeiske sone eller land med tilstrekkelegheitserklæring for personvern).

Eg har utheva ei setning som eg meinar har relevans med tanke på amerikanske selskap. Om ikkje eg hugsar feil fastslo EU Court of Justice (EUCJ) at overvakinga i USA exceed what is necessary and proportionate in a democratic society. Domen slo fast at overvakingslovene i USA er eit brot på GDPR og menneskerettane nedfelt i mennesrettscharteret i EU. Vi veit dermed at det for amerikanske selskap/konsern (Microsoft, Google, Apple, Oracle osv.) ikkje vil vere mogleg å kunne garantere noko i tråd med Clause 14.

Eg registrerer også at ein har fått inn ei fotnote 12 som strekker seg over nederste del av side 22 og 23:

As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.

Eg har utheva noko sidan innsyn etter Foreign Surveillance Act (FISA) ikkje legg til rette for varsling av handsamingsansvarleg eller objektet/personen etterretninga vil ha innsyn i, slik at ein kan bestride innsynet i ein rett. Verksemda vil(/kan) bli pålagt «gag order» som gjer at dei har teieplikt om innsyn. Ergo kan ein heller ikkje rapportere at det har vore innsyn.

Oppsummering:

  • Amerikanske tenester kan ikkje brukast til å handsame persondata (i klartekst), sjølv med nye SCC.
  • USA må endre sine overvakingslover før det kan bli lovleg.
  • I praksis må du bruke skytenester fullt ut eigd og levert innafor det europeiske økonomiske område (EEA) eller i land med tilstrekkelegheitserklæring for personvern. For alle andre stadar vert det kravd omfattande innsikt, forståing og dokumentasjon av lov og praksis i landet til datahandsamar og eventuelt landet der datahandsaminga finn stad i, til at det vil være for kostnads- og tidskrevande å kartlegge og følgje opp for mange verksemder.

Visma in School bryt med GDPR

Eg ser Visma in School vart omtalt på Digi i dag. Eg har skrive mykje om følgjene av Schrems II-domen og det at ein i noverande rettstilstand i praksis fins ingen gode tiltak som gjer at ein kan ta i bruk amerikanskeigde skytenester. Først sjekka eg personvernerklæringa til Visma. Inndelinga «Når benytter vi underleverandører» var veldig vag.

Ved bruk av underleverandører vil Visma inngå en databehandleravtale (DBA) for å beskytte dine rettigheter til personvern i henhold til gjeldende personvernlovgivning. Dersom underleverandører befinner seg utenfor EU, vil Visma sørge for at det inngås gyldige overføringsmekanismer med disse på dine vegne ved å benytte ordninger godkjent av EU kommisjonen, herunder EU Model Clauses.

For å identifisere kor løysinga køyrer, sjekka eg kor lillehammernord-vgs.inschool.visma.no tok meg. IP-adressa er 34.241.207.162. Ho høyrer til EU West 1 til Amazon som geografisk har tilhøyr i Dublin, Irland. Amazon er eit amerikansk selskap som er underlagt amerikanske lover.

Eg gjekk vidare og såg på lenka knytt til Schrems 2 og tiltak. Her rotar Visma til bildet med å dra inn CLOUD act. Problemet ligg i FISA (Foreign Surveillance Act). I FISA er det ingen uavhengig dommar som tek stilling til om etterretninga kan pålegge ein amerikansk «electronic communications service provider», som Amazon, å utlevere informasjon. Dersom etterretning har behov for informasjon om individ, kan dei instruere selskapet til å hente ut informasjon kor som helst den er i verda på selskapet sine serverar. Leverandøren blir pålagt ein «gag order» som gjer at dei ikkje kan informere om dette til nokon, inkludert individet eller for den del Visma, om dei finn informasjonen i deira tenester.

Det er ikkje noko som tydar på at Visma har på plass tekniske tiltak for å sikre informasjonen mot innsyn. EDPB i si rettleiing Use Case 6 – handsaming av informasjon i klartekst/ukryptert – er tydeleg på at i slike tilfeller fins det ikkje tekniske tiltak. Ein kan ikkje avtale seg vekk frå den amerikanske lova, det er difor eit nødvende at ein har på plass tekniske tiltak som kryptering og/eller pseudonymisering.

  • Mi vurdering er at Visma in School med stort sannsyn er ei teneste som er i strid med GDPR.

Ei bonussak er at opplæringsportalen er levert på inschool.zendesk.com. Om du sjekkar IP-adressa – 104.16.53.111 – vil du sjå at trafikken vert sendt gjennom den amerikanske trafikkstyringstenesta Cloudflare. Dette blir vanlegvis gjort for å sikre tenesta si mot ulike former for skadelege angrep, som tenestenektangrep (DDoS). IP-adressa ser ut til å vere geografisk plassert i USA, som betyr at du i tillegg til å sende via ein leverandør underlagt FISA, også sender trafikk til USA. Executive Order 12 333, som FRA-lova i Sverige, gjer at ein kan avlytte trafikk inn til landet/USA. Metadata rundt trafikken kan plukkast opp. Etterretning for medlemsland innanfor EU/EEA er unnateke etter GDPR artikkel 23. USA og mange andre land er ikkje med i EU/EEA. Dersom TLS, på grunn av djup pakkeinspeksjon, blir terminert hos Cloudflare, vil trafikken mellom Cloudflare og sluttenesta kunne vere lesbar for Cloudflare og kan då bli samla inn etter FISA. Det kan leggast til at Zendesk er eit amerikansk selskap. Lista ligg ikkje høgt for å koma inn under omgrepet «electronic communications service provider» som gjer at dei kjem inn under FISA.

  • Einaste løysinga er at USA endrar sine lover, før vi kan bruke tenestene lovleg.

Eg held ikkje pusten!

Youtube pressar på for å få meg til å betale

Dei siste åra har eg følgt med på ulike innhaldsleverandørar som brukar Youtube som plattform. Gradvis har reklamen blitt meir framtredande. Det byrja så smått med 5 sekundars klipp eller lengre klipp som kunne hoppast over etter 5 sekundar. Etter ei tid auka tida på annonsene noko til 6-7 sekund, samt at dei lengre kunne hoppast over etter 5-7 sekundar. Heilt greitt det også. Eg var godt nøgd, sopass må eg tåle og eg såg med blide auge på annonsørane. Det var ikkje nokon grunn til å betale Google eit månadleg abonnement for å sleppe reklamen.

Når vi nærmar oss notid, byrja det å dukke opp lengre reklamar som eg ikkje kunne hoppe over. Frustrasjonen auka når eg fekk servert slike. Eg stoppa starta videoen eg ville sjå heilt til eg slapp meir annonser eller det kom reklame eg kunne hoppe over etter ca. 5 sekundar. Irritasjonen overfor Youtube og verksemdene med desse reklamane auka.

I notid har det vorte aldeles gale. Vi er på veg mot dei håplause reklamane vi får servert på TV. No er det meir regelen enn unntaket at ein blir servert reklame på 15 sekundar, utan moglegheit å hoppe over det. Alternativt er 2 reklamar som til saman spelar opp mot 15 sekundar når du hoppar over kvar av dei. Irritasjonen med Youtube og verksemdene som reklamerer har nådd nye høgder. Om de vil irritere publikum, må de berre gjere det. De får ikkje meir velvilje frå meg.

På iPad er det håplaust i appen. Eg må tilbake på PC for å sjå på Youtube. Her kan eg installere tillegget uBlock Origin i nettlesaren. uBlock Origin kuttar alt av reklamepausar som Youtube/Google legg på videoane.

Kva er algoritma?

Denne veka var det igjen ei høyring USA av huset med toppsjefane for Google, Twitter og Facebook. Eg såg deler av direktesendinga på Engadget og ei kortare oppsummering seinare. Eg kunne drege fram mykje sidan du får ein del brusing med fjøra frå politikarane. Dei krev ja- eller nei-svar på kompliserte spørsmål. Men eit sentralt spørsmål rundt tenestene er «algoritma» som var med å radikalisere folk.

Facebook forlot eg for eit par år sidan. Twitter har aldri interessert meg. Men eg har framleis ein konto hos Google og kjenner godt til søketenesta, annonsenettverk og Youtube.

Annonsenettverket deira lærer av aktiviteten din med tanke å levere deg annonser du er interessert i. Ideen er at dei som kjøper annonser skal være sikra ein større sjanse for at du klikkar på annonsa og handlar hjå dei. For ein del år sidan slo eg det av. Eg handla for ungane på nettet og bli servert annonser på ungeklede i veker etter ein handlerunde var irriterande. Når det er sagt, har nettannonser over tid blitt å skjemmande at eg blokkerer dei med uBlock Origin. Eg orkar ikkje lenger den visuelle støyen frå annonsene.

Google Search er kort og godt den beste søketenesta. Microsoft Bing har eg prøvd, sidan eg også har Microsoft-konto, men Google leverer best. Med ein Google-konto, vil Google bruke din søkeaktivetet til å filtere og føre opp dei lenkene som dei meiner vil vere mest relevante med tanke på tildlegare aktivitet. For eigen del er det til stor nytte når eg er på jakt etter fakta innanfor IKT, bilar osv. Eg blir betre til å formulere meg over tid på søka på eit tema, men saman med hjelpa i bakkant frå Google får eg mine relevante treff høgt oppe i dei første 10 søketreffa. Eg har prøvd DuckDuckGo og Qwant som er meir personvernretta, men det hjelper lite når treffa ikkje er like gode. Det kan vere verd å nemne at eg ser same tendens frå statistikken min. Google er standard for brukarane som finn sidene mine. Innslaget av andre søketenester, som Bing og Kvasir, kan samla teljast på ei hand i løpet av ei veke.

Youtube har også ei tilsvarande algoritme som lærer av kva du har sett på. I hovedsak er interessa mi innafor IKT, men det hender at deg tek avstikkarar innanfor andre tema som historie, bilar, filmvurdering, musikk osv. Avhengig av kor lenge avstikkaren varer, vil det auke på med framlegg til lignande videoar innanfor tema. Det kunne være irriterande når eg ikkje var interessert i tema lenger. Løysinga er simpel. Tek du ein avstikkar på eit tema utanfor ditt ordinære interesseområda, stoppar du berre logginga. Har du gløymt stoppe kan du berre slette oppføringane i loggen og framlegga vil felle bort.

Der eg har stor nytte av gode verktøy, som gir det eg fagleg er interessert i, ser eg at den same støtta kan grave deg ned i konspirasjonsteoriar. Startar du eit slikt løp vil f.eks. Youtube hjelpe deg å finne lignande innhald. Algoritma trur du er interessert i dette sidan du har sett (mykje) lignande innhald tidlegare. Det blir som om bibliotekaren finn andre lignande bøker til deg basert på det du har lånt tidlegare. Eller Netflix som gir det framlegg på filmar som du bør sjå basert på filmar du allereie har sett.

PS! Under Data og personlig tilpassing kan du justere innstilingane for kva Google loggar og kor lenge dei tek vare på det. Du kan også slå det av, om du ikkje vil ha støtte.

Ta vare på personvernet

Eg viser til mine tidligare postingar om Schrems II-domen:

Tenkte eg skulle ta oppfordringa på strak arm og sjå kva som måtte til for å sikre tilstrekkeleg personvernvernet mitt.

E-post

Det var det enklaste å få styr på. All e-post tilbake til 1.1.2008 er flytta heim til norsk leverandør og køyrer på norske servarar. Adresseoppføringar rundt omkring er oppdatert. No er det berre litt reklame og uvesentleg e-post som kjem via mine gamle e-postadresser sendt vidare til ny e-postadresse. Intet bli lagra hos amerikanske skyleverandørar.

Backup

Eg har store diskar til å lagre filer og backup. Skya for meg har i det store og heile vorte brukt som eit backup-område for mine data. Eg har flytta backup av data til eit norsk selskap.

Skylagring

Sidan eg har att eit par år med 6 TB med lagring hos ein amerikansk leverandør, har eg flytta personleg data som eg må arbeide med til eiga løysing omtala under. Det personlege videoarkivet er no kryptert med min PGP-nøkkel, som eg har full kontroll på. Eg måtte børste støv av gamal kunnskap om kommandolina og lage til eit skript som handsama tusenvis av filer ved å kryptere dei og slette orginalen etterpå. Det var berre å setje det på og la det gå. Når filene var bytta ut med krypterte filer, tømte eg papirkorga på skytenesta.

Det er ikkje mogleg for uvedkommande å låse opp filene. Ulempa er at eg heller ikkje kan sjå på filene ved hjelp av framvisingsfunksjonalitet i skyløysinga.

Andre filer; som programvare, musikk-, filmsamlinga samt råvideo og ferdigredigert video frå turar i Leikanger du finn på kanalen min på Youtube, såg eg ikkje behov for å låse ned.

Filsynkronisering mellom mine PCar

For dokument og bilete måtte eg ha ei løysing på for å ha dei lett tilgjengeleg og synkronisert mellom einingane mine. Eg vurderte ulike løysingar, men enda opp på ei enkel og sikker synkroniseringsprogramvare som eg kan setje opp og ha full kontroll på: Syncthing

Eg har ein liten Intel NUC ståande og køyre OpenMediaVault, som er basert på Debian Linux. La til programvarekilda for Syncthing, installerte og sette opp «navet» for synkroniseringa på denne maskina. Alla andre maskiner synkar mot denne sidan ho står på døgnet rundt. Deretter lasta eg ned Syncthing på alle andre maskiner og kobla dei saman for synkronisering av Dokumenter og eventuelt Bilder. Syncthing består av ei programvarefil som du kan legge i oppstarten på Windows. All administrasjon skjer via eit grensesnitt i nettlesaren på adressa localhost:8384. Det betyr at du berre når grensesnittet lokalt maskin for maskin, med mindre du endrar på konfigurasjonen. Det har eg gjort på Intel NUC fordi den står utan tilkobling til skjerm eller tastatur og kan kun fjernadministrerast.

Enklare alternativ for deg

Eg gjorde dette for eiga underhaldning. Vil du gjere noko tilsvarande, er det enklaste å kjøpe e-post hos norske Runbox. Her får du enkel hjelp til å overføre alle din post frå andre e-posttenester som Google og Microsoft. For filsynkronisering kan du bruke sync.com og eller mega.nz. Begge tilbyr kryptering av dine data før dei blir lagra hos dei. Samstundes er selskapa heimehøyrande i land, Canada og New Zealand, EU har vurdert personvernet til å vere tilstrekkeleg i.

Kva vil Datatilsynet?

Eg viser til mine tidlegare postingar rundt Schrems II-domen og personvernrådet i Europa (EDPB) sine tilrådingar:

EU har vore tydeleg i dommen og i etterkant:

…must ensure that the data subject is granted a level of protection essentially equivalent to that guaranteed by the General Data Protection Regulation (GDPR) and the EU Charter of Fundamental Rights (CFR) – if necessary with additional measures to compensate for lacunae in protection of thirdcountry legal systems. Failing that, operators must suspend the transfer of personal data outside the EU.

… Furthermore, the EDPB announced that it will not suspend enforcement for a regulatory grace period.

EDPB, som Datatilsynet i Norge er medlem av, er krystallklare i talen. Ein har ikkje innvilga nokon form for friperiode. Greier ein ikkje å etablere eit tilsvarande nivå som innafor EU, må ein avslutta overføring av data til USA-baserte/-eigde tenester. Basert på tilrådinga fra EDPB, er det ingen moglegheit å sikre informasjon på nemde tenester og stette kravet som er sett. Datatilsynet i Norge er utydelege, men kanskje vi kan sjå eit par lyspunkt frå dei.

Det første lyspunktet finn eg i breva frå Datatilsynet til kommunane dei kontrollerte bruken av G-Suite for Education i skulen. Breva er datert 7. desember 2020, nesten 5 månadar etter domen og 1 månad etter utkast til tilrådingar frå EDPB vart publisert. Etter å ha skumma breva, er det ein ting eg har bite meg merke til: Datatilsynet har ikkje skrive at kommunane skal avslutte bruken av G-Suite for Education.

Det andre lyspunktet er rettleiaren for bruk av Google Chromebook og G Suite for Education (og andre skytenester) i grunnskulen. Dei har utarbeidd ei rettleiing for ei USA-basert/-eigd teneste som etter mi, og mange andre si, forståing av Schrems II-domen og EDPB sine tilrådingar, ikkje kan levere tilstrekkeleg personvern og er i strid med EU sitt lovverk. Personinformasjon vil kunne hentast ut av amerikansk etterretning, f.eks. etter PRISM-paragrafen, som gjer at etterretninga kan pålegge Google å hente ut informasjon som ligg kor som helst i verda på Google sine tenester.

Før du blir blenda av lyset, skal eg like godt blåse det ut. Datatilsynet har lagt til grunn ei tilnærming som er risikobasert. Slik det står no frå EU er det ikkje anledning å gjere ei risikobasert tilnærming. Ergo framstår Datatilsynet i Norge sine handlingar som mildt sagt forvirrande, når alt er avhengig av ei politisk løysing. USA må endre sine lover slik at USA-baserte/-eigde tenester kan levere tilstrekkeleg personvern.

DuckDuckGo – personvern?

Som ei oppfølging til postinga i går, tenkte eg at eg skulle ta ein titt på DuckDuckGo, ein søkemotor som held høgt fana for privatlivet og ikkje sporar deg slik som Google og Bing (Microsoft). Om du som verksemd vel å endre standard søkemotor i dine system til DuckDuckGo, vil personvernet for dine tilsette bli tilstrekkeleg teke i vare? Det DuckDuckGo skriv på sidene sine tyder på det, men djevelen er skjult i detaljane du ikkje ser.

Om du pingar adressa duckduckgo.com, vil du få svar frå ip-adressa 52.142.124.215. Deretter gjer du eit oppslag på IP-adressa for å finne kven som eig ho. Overraskinga var stor. Eg sette kaffien i halsen og måtte sjekke IP-adressa ved hjelp av fleire tilsvarande tenester.

Duckduckgo.com køyrer på Microsoft Azure 😂.

Eg kan verkeleg ikkje tru det, ei teneste som marknadsførar seg på personvern, køyrer på infrastruktur som EU har funne ikkje ivaretek personvernet tilstrekkeleg! Bonusen er at duckduckgo.com er amerikansk….

Du får heller prøve Qwant, ein fransk søkemotor, om du vil ta vare på personvernet.