Eg viser til mine tidlegare postingar rundt Schrems II-domen og personvernrådet i Europa (EDPB) sine tilrådingar:

• Nok til å bli EU-motstandar
• Kan det bli verre, EU?

EU har vore tydeleg i dommen og i etterkant:

…must ensure that the data subject is granted a level of protection essentially equivalent to that guaranteed by the General Data Protection Regulation (GDPR) and the EU Charter of Fundamental Rights (CFR) – if necessary with additional measures to compensate for lacunae in protection of thirdcountry legal systems. Failing that, operators must suspend the transfer of personal data outside the EU.

… Furthermore, the EDPB announced that it will not suspend enforcement for a regulatory grace period.

EDPB, som Datatilsynet i Norge er medlem av, er krystallklare i talen. Ein har ikkje innvilga nokon form for friperiode. Greier ein ikkje å etablere eit tilsvarande nivå som innafor EU, må ein avslutta overføring av data til USA-baserte/-eigde tenester. Basert på tilrådinga fra EDPB, er det ingen moglegheit å sikre informasjon på nemde tenester og stette kravet som er sett. Datatilsynet i Norge er utydelege, men kanskje vi kan sjå eit par lyspunkt frå dei.

Det første lyspunktet finn eg i breva frå Datatilsynet til kommunane dei kontrollerte bruken av G-Suite for Education i skulen. Breva er datert 7. desember 2020, nesten 5 månadar etter domen og 1 månad etter utkast til tilrådingar frå EDPB vart publisert. Etter å ha skumma breva, er det ein ting eg har bite meg merke til: Datatilsynet har ikkje skrive at kommunane skal avslutte bruken av G-Suite for Education.

Det andre lyspunktet er rettleiaren for bruk av Google Chromebook og G Suite for Education (og andre skytenester) i grunnskulen. Dei har utarbeidd ei rettleiing for ei USA-basert/-eigd teneste som etter mi, og mange andre si, forståing av Schrems II-domen og EDPB sine tilrådingar, ikkje kan levere tilstrekkeleg personvern og er i strid med EU sitt lovverk. Personinformasjon vil kunne hentast ut av amerikansk etterretning, f.eks. etter PRISM-paragrafen, som gjer at etterretninga kan pålegge Google å hente ut informasjon som ligg kor som helst i verda på Google sine tenester.

Før du blir blenda av lyset, skal eg like godt blåse det ut. Datatilsynet har lagt til grunn ei tilnærming som er risikobasert. Slik det står no frå EU er det ikkje anledning å gjere ei risikobasert tilnærming. Ergo framstår Datatilsynet i Norge sine handlingar som mildt sagt forvirrande, når alt er avhengig av ei politisk løysing. USA må endre sine lover slik at USA-baserte/-eigde tenester kan levere tilstrekkeleg personvern.

Som ei oppfølging til postinga i går, tenkte eg at eg skulle ta ein titt på DuckDuckGo, ein søkemotor som held høgt fana for privatlivet og ikkje sporar deg slik som Google og Bing (Microsoft). Om du som verksemd vel å endre standard søkemotor i dine system til DuckDuckGo, vil personvernet for dine tilsette bli tilstrekkeleg teke i vare? Det DuckDuckGo skriv på sidene sine tyder på det, men djevelen er skjult i detaljane du ikkje ser.

• 

Om du pingar adressa duckduckgo.com, vil du få svar frå ip-adressa 52.142.124.215. Deretter gjer du eit oppslag på IP-adressa for å finne kven som eig ho. Overraskinga var stor. Eg sette kaffien i halsen og måtte sjekke IP-adressa ved hjelp av fleire tilsvarande tenester.

Duckduckgo.com køyrer på Microsoft Azure .

Eg kan verkeleg ikkje tru det, ei teneste som marknadsførar seg på personvern, køyrer på infrastruktur som EU har funne ikkje ivaretek personvernet tilstrekkeleg! Bonusen er at duckduckgo.com er amerikansk….

Du får heller prøve Qwant, ein fransk søkemotor, om du vil ta vare på personvernet.

Eg viser til innlegget mitt rundt Schrems II-dommen og tilrådingane som er godt frå personvernrådet i EU (EDPB). Høyringsfristen er ute for tilrådingane og innspel er no publisert. Eg har lest gjennom mange gode innspel frå ulike aktørar, men skal ein sjå på retninga vi kan forvente, trur eg innspelet frå noyb (Max Schrems sin organisasjon) vil vere sentralt med tanke på kva som blir den endelege tilrådinga frå EDPB. For å summere det opp:

Stopp og full retrett i bruk av (sky)tenester som har drift eller eigarskap utanfor EU/EØS, samt nokre få land EU meiner har tilstrekkeleg personvern.

La meg plukke fram nokre moment frå noyb sine innspel på tilrådingane frå EDPB:

• Side 2: «The European Legislator has de facto established an export ban for personal data…. is nevertheless the current state of the law.»
• På side 3 peikar noyb på at ein er forplikta til å stoppe og avvikle overføringar der personvernet ikkje er tilstrekkelig ivareteke (f.eks. USA-baserte tjenester).
• På side 5 får Datatilsyn i landa peppar for å ikkje å være klare nok. Alle ventar på at nokon gjer det første trekket. noyb minner om at Datatilsyna er forplikta til å bidra til stopp og avvikling av overføringar. Eg kan leggje til at noyb på side 7, avsnitt 2 ytrar ein viss frustrasjon over mangelen på handling, berre skriving av rapportar, dokument og vurderingar.
• På side 8 er noyb krystallklar på at risikobasert tilnærming ikkje er eit alternativ.
• På side 10 peikar noyb på at man ikkje skal ta omsyn til sannsynet for at nokon nyttar seg av retten og moglegheita for tilgang. I anbefalingene i slutten av kapittelet vert det peika på ein ved tvil alltid skal leggje til grunn at personvernet i landet IKKJE er godt nok.
• Eg tolkar at noyb meiner at pseudonymisering ikkje er tilstrekkelig og ber om at det vert fjerna om eit mogleg tiltak.
• I kapittel 11 peikar noyb på alle som kjem med «deceptive promises all the way to fraudulent behavior». Det vert illustrert med lovnadene til Microsoft som punktvis blir gått gjennom og punktert. noyb ber Datatilsyna i EU/EØS ta tak i slik villeiande informasjon.
• Om det er noko positivt her er det at noyb (i kap. 12) ber om at EDPB eller lokale Datatilsyn, direkte eller indirekte, tilbyr informasjon om ulike land (utanfor EU/EØS).

Legg vi til grunn at det ikkje blir dei store endringane, men presiseringar frå EDPB, som følgje av innspelet frå noyb, betyr det i praksis at private og offentlege norske verksemder skal, eller faktiskt allereie skulle ha, slutta å bruke løysingar eller tenester som:

• Microsoft 365
• Google Worksuite (Gmail osv.)
• Google Analytics
• Vimeo
• Youtube
• Zoom
• WordPress
• Microsoft Azure
• Amazon Web Services
• Google Cloud
• Oracle Cloud
• Telefonar som krev knytning til Google eller Apple
• Cloudflare eller Akamai for å beskytte sine nettsider mot DDoS
• Andre tenester som har eigarskap utanfor EU/EØS og nokre få land
• osv.

PS! Alle Tesla-bilar blir deaktivert, medan prisane på Nissan Leaf vil stige til uante høgder sidan Japan er vurdert til å ha tilstrekkeleg personvern.

16. juli fall ein dom i EU-domstolen som ser ut til å få alvorlege konsekvensar. Privacy Shield-avtalen mellom USA og EU/EØS vert oppheva. Personvernlova i EU og overvakingslover i USA kolliderer og ergo er avtala dømd ugyldig.

Problemet er Foreign Intelligence Surveillance Act (FISA) Section 702, også kjent som 50 USC § 1881a og Executive Order 12333 (E.O. 12333) samt Cloud Act H.R 4943. Etterretninga i USA kan etter reglane lytte på trafikk eller be om å få utlevert data om mistenkelege individ, som er i strid med GDPR og som ein ikkje kan avtale seg rundt. Det følgjer ei forplikting i lovverket av tenesteleverandør.

Den siste veka har eg gjort eit djupdykk ned i moglege konsekvensar av domen. Skal ein ta det bokstaveleg har EU forbydd verksemder i EU-området om å bruke tenester som er levert av amerikanske selskap. Har verksemda di ein netteneste som handsamar personinformasjon, kan du ikkje nytte f. eks. Microsoft Azure, Google Cloud og Amazon Web Service. Kontorstøtteverktøy som Microsoft 365 og Google Apps (gamle G Suite) er det heller ikkje lov å bruke for verksemder.

I november kom det utkast til rettleiing som følgje av domen. La oss retta søkelyset mot EU sitt personvernråd: Recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data.

Use Case 6: Transfer to cloud services providers or other processors which require access to data in the clear

A data exporter uses a cloud service provider or other processor to have personal data processed according to its instructions in a third country.

If

1. a controller transfers data to a cloud service provider or other processor,
2. the cloud service provider or other processor needs access to the data in the clear in order to execute the task assigned, and
3. the power granted to public authorities of the recipient country to access the transferred data goes beyond what is necessary and proportionate in a democratic society, then the EDPB is, considering the current state of the art, incapable of envisioning an effective technical measure to prevent that access from infringing on data subject rights. The EDPB does not rule out that further technological development may offer measures that achieve the intended business purposes, without requiring access in the clear.

In the given scenarios, where unencrypted personal data is technically necessary for the provision of the service by the processor, transport encryption and data-at-rest encryption even taken together, do not constitute a supplementary measure that ensures an essentially equivalent level of protection if the data importer is in possession of the cryptographic keys.

Eksempel 6 frå personvernrådet råkar alle typar skytenester som er levert eller som inngår som underleveranse av amerikansk-basert selskap eller selskap heimehøyrande i eit land med dårlegare personvern enn EU.

Ei europeisk verksemd kan ikkje putte noko i skya til Microsoft, Google, Amazon, Oracle osv. Verksemda kan heller ikkje bruke kontorstøtteverktøy som Microsoft 365 og Google Apps.

Eg må trekka på smilebandet når eksempelet går på handsaming av informasjon. Skal du handsame informasjon i ei teneste, må dei vere dekrypterte og handsambare i løysinga. Berre sikkerheitskopiar kan ligge i ro krypterte. Dei vert ikkje handsama, berre lagra.

Use Case 7: Remote access to data for business purposes

A data exporter makes personal data available to entities in a third country to be used for shared business purposes. A typical constellation may consist of a controller or processor established on the territory of a Member State transferring personal data to a controller or processor in a third country belonging to the same group of undertakings, or group of enterprises engaged in a joint economic activity. The data importer may, for example, use the data it receives to provide personnel services for the data exporter for which it needs human resources data, or to communicate with customers of the data exporter who live in the European Union by phone or email.

If

1. a data exporter transfers personal data to a data importer in a third country by making it available in a commonly used information system in a way that allows the importer direct access of data of its own choice, or by transferring it directly, individually or in bulk, through use of a communication service,
2. the importer uses the data in the clear for its own purposes,
3. the power granted to public authorities of the recipient country to access the transferred data goes beyond what is necessary and proportionate in a democratic society, then the EDPB is incapable of envisioning an effective technical measure to prevent that access from infringing on data subject rights.

In the given scenarios, where unencrypted personal data is technically necessary for the provision of the service by the processor, transport encryption and data-at-rest encryption even taken together, do not constitute a supplementary measure that ensures an essentially equivalent level of protection if the data importer is in possession of the cryptographic keys.

I den enklaste form kan du gløyme globale støttetenester som kan hjelpe deg 24 timar i døgeret, 7 dagar i veka, 365 dagar i året. Du kan ikkje gi personell frå land med dårlegare personvern enn EU tilgang til tenesta for å hjelpe deg med feilretting.