Eg har følgt med utviklinga som følgje av Schrems II-domen med påfølgande retningslinjer og domar. Det overraskar meg ikkje at ting fell på plass slik eg såg det for meg. Av og til fleipar eg med at det er to måtar å gjere ting på: Min måte og feil måte. Her slår det til igjen. Du kan lytte gjennom det siste webinar til advokatfirma Fieldfisher:

Dei går mellom anna inn på den siste avgjerda i Austerrike på bruk av Google Analytics. Greit at anonymiseringfunksjonen til Google Analytics ikkje vart brukt. Hadde den vorte brukt ville det framleis vore Google som hadde strippa det siste talet i IP-adressa før ho vart lagra. Ergo hadde Google handsame personinformasjon (IP-adressa) i klartekst, som er i strid med råda frå EDPB (personvernrådet i EU).

Representantane frå Fieldfischer har lita tru på at USA kjem til å endre sine lover/reglar, men dei har tru på at EU og USA vil få på plass Privacy Shield 2.0. Det er her det kollapsar for meg. Ein advokat eller jurist må for f**n vite at ein ikkje kan avtale seg rundt lover. Det er difor vi har både Schrems I og Schrems II-domane.

Dersom EU og USA skulle forhandle fram ei Privacy Shield 2.0-avtale, skriv ho ut på smalt, mjukt papir, rull det saman og bruk det som toalettpapir. Du kan òg vente på ein Schrems III-dom som pulveriserer Privacy Shield 2.0. Som eg har sagt tidlegare er det berre ei løysing på denne gordiske knuten, USA må endre sitt lovverk.

Las artikkelen på Digi om Stockholm som finn det problematisk å ta i bruk Microsoft 365-portefølgjen som følgje av Schrems II-domen og gjeldande lovheimlar for etterrertning i USA. Eg har skrive ein del innlegg om dette i løpet av fjoråret. Spesielt er FISA 702 problematisk, men også Cloud Act blir drege fram.

Kort sagt kan Microsoft, som Electronic Communication Service Provider, bli pålagt å hente ut informasjon dei har lagra på eit ikkje-amerikansk individ utan å sei ifrå eller la vedkomande få moglegheita til å motsetje seg utleveringa. Kor informasjonen er lagra i universet er likegyldig. Den same problemstillinga gjeld andre skyleverandørar som kjem inn under definisjonen Electronic Communication Service Provider. Du får ikkje poeng for å gisse Google eller Apple.

Det som får blodet til å koke litt her er når Microsoft prøver å skyve denne problemstillinga under teppet:

Teknologi- og sikkerhetsdirektør Ole Kjeldsen sier til teknologiavisen at de har jobbet målrettet for å beskytte europeiske kunders privatliv. 

Han konstaterer at skytjenestene deres er i tråd med Schrems II-dommen.

Den siste setningen er rett og slett vrøvl, sprøyt, feberfantasi, usannheit og/eller rein løgn. Det endrar ikkje det fakta at Microsoft, som amerikansk selskap, er underlagt amerikanske lover der dei kan bli pålagd å levere ut data på eit ikkje-amerikansk individ. Microsoft står over for å eit dilemma: Dei kan velje å bryte amerikansk lov eller europeisk lov. Ein kan ikkje avtale seg rundt lover. Det er lett å konkludere med at Microsoft vel å ikkje bryte amerikansk lov. Her finn du statistikken på forespørslar/ordrar dei har handsama gjennom åra.

Microsoft 365, der du kan sjå informasjon i nettlesaren, f.eks. Office Online, betyr at informasjon vert handsame i klartekst. Det som vert vist til deg i nettlesaren er klartekst transportert til og deg i ein kryptert kanal over internett. Sjølv om informasjonen blir låst ned eller kryptert når den blir lagra hos Microsoft, betyr det at Microsoft har tilgang til nøkkelen for å låse opp informasjonen.

Det kan vere greit å ha på minne at «sky» er berre eit ord for nokon andre sin(e) datamaskin(er)!

Ingen bombe for meg, men direktoratet for e-helse har avgjort å setje utviklinga av Helseanalyseplattformen på pause. Det er omtala i Dagens Medisin her, eg refererer kort:

• USAs føderale etterretningslover gir amerikanske myndigheter rett til tilgang til informasjon om personopplysninger fra amerikanske selskaper, også hos dem som opererer i utlandet.
• Dette er et brudd på europeisk personvernregelverk, og en EU-dom fra i fjor sommer, den såkalte Schrems II-dommen, stiller strenge krav til denne typen dataoverføring, for å sikre at europeeres personopplysninger blir like godt beskyttet etter overførselen til tredjeland som de blir i EØS.

Må være trygge

Helseanalyseplattformen bruker Azure som skyleverandør, som er underlagt amerikansk lovgivning. Selskapet kan i ytterste konsekvens bli pålagt å levere ut personopplysninger, også dersom opplysningene befinner seg på servere som er lokalisert i Norge.

Saka er også omtalt på ehelse sine eigne sider. Eg har skrive mykje om problemstillinga. Det er berre å gå gjennom innlegga innan data-kategorien det siste året. For meg er det ikkje uventa at andre kjem til same slutning.

Gitt lovverk i USA og EU samt føringane av det europeiske personvernrådet, er amerikanskeigde skyleverandørar bannlyste. Til dømes vil Micrsoft Azure, Amazon Web Services, Google eller Oracle Cloud aldri bli i tråd med GDPR så lenge USA ikkje endrar sitt regelverk.

Etter to års vurdering om dei skulle opprette ei Facebook-side, konkluderte dei med at risiko var for stor. Har skumma den lange vurderinga og registrerer at eit av momenta er Facebook, som eit sosialt medium i sin natur, at kven som helst, også idiotar, kan poste kva som helst. Slikt er vanskeleg å handtere om ein vil ta eit fullstendig redaktøransvar for både tanketomme og ondsinna ytringar med spreiing av meir eller mindre sensitiv personinformasjon om individ.

Neste i søkelyset er Twitter, der dei faktisk har konto. Skumma policy for personvern og konkluderer med at dette nesten bør vere ein skikkeleg walkover.

Med unntak av ein parantes og ei setning som virkar som dei slenger med for å få ryggdekning:

…(where we rely on the EU standard contractual clauses these may be requested by inquiry as described below)…

…We do not rely on the EU-US or Swiss-US Privacy Shield as our lawful basis to transfer personal data from the European Union, EFTA States, or the United Kingdom, however…

forheld resten av teksten seg til Privacy Shield – som vart ugyldig 16. juli 2020. I parantesen vert det referert til at ein kan ein be om Standard Contractual Clauses. Dessverre greier eg ikkje å finne kor eg kan be om dei. Uansett, slike kan ligge fritt tilgjengelege sidan det er standardvilkår frå EU som ikkje skal/kan endrast.

Snart 15 månadar etter domen 16. juli 2020, er det lite som indikerer at Twitter har tilpassa seg gjeldande regelverk.

Kike litt på alternativ til Facebook, som eg forlot for eit par år sidan. Mastodon.social kom opp som eit alternativ. Kobla meg på for å sjå, men for ein som har år med innsikt i Facebook, virkar det heile kaotisk.

Du har straumane Felles og Lokal samt det du abonnerer på eller følgjer. Dei to første er berre reint kaos, virka som om alt som blir posta berre straume uhemma på. Straumen for det eg abonnerer på er temmeleg stille, fordi det er ingen, absolutt ingen andre personar eller tenester som er av interesse og er aktive. Sikkert nokon som finn nytte i Mastodon.social, men nokon erstatning for Facebook er det ikkje.

Kan legge til at eg har registrert enkelte profilar med svært grafiske hovudbilder som ikkje overlet noko til fantasien. Sarte sjeler bør halde seg unna.

Eg kom over artikkelen EUs nødlov mot barnemishandling… hos digi.no. EU legg opp til at ein leverandørar skal kunne overvåke personlig e-post og meldingar med formål å avdekke barnemishandling. EU skal i september stemma over eit framlegg som krev at krypterte kommunikasjonstenester skal ha ei bakdør. Dersom det blir vedteke, vil nokon kunne sitje å ha tilgang til all kommunikasjon som flyt gjennom ei teneste uavhengig av kor godt han ellers er sikra.

Eg minner om menneskerettane EU har vedteke i Charter of fundamental rights of the European Union:

Article 6
Right to liberty and security
Everyone has the right to liberty and security of person.

Article 7
Respect for private and family life
Everyone has the right to respect for his or her private and family life, home and communications.

Article 8
Protection of personal data
1. Everyone has the right to the protection of personal data concerning him or her.

2. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.

3. Compliance with these rules shall be subject to control by an independent authority.

Her ligg EU an til å kaste menneskerettar på båten fordi ein meinar at ein har ei lur løysing for å bekjempe overgrep mot barn. Som Jon Wessel-Aas, leiar i advokatforeninga, er inne på kan ein ikkje uthole kommunikasjonsvernet på denne måten, utan at det samtidig rammar alle sin rett til fortruleg kommunikasjon, ei forutsetning for eit fungerande demokrati. Sikre kommunikasjonstenester er nødvendige for det enkelte individ, verksemder og myndigheiter. Opprettar ein bakdører i tenester er ikkje tenesta sikker for nokon lenger.

Eg kan dra fram eit praktisk eksempel. For 5-6 år sidan la Transport Security Administration (TSA) ut eit bilete av nøklane som gjer at toll på flyplassane kan opne din koffert for å sjekke innhaldet utan at du er tilstades. No har alle som vil tilgang til nøklane, du finn oppskrifta på dei på GitHub. Alt du treng er tilgang til ein 3D-printar.

I praksis betyr det at kven som helst kan låse opp din koffert og nappe ut verdisaker. Det mest skremmande for de som reiser verda rundt er det at nokon, i ein periode du ikkje har kontroll på kofferten, kan opne kofferten legge inn narkotika for at nokon på flyplassen kofferten skal til skal ta det ut. Planen går skeis, mottakar blir akutt sjuk og får ikkje teke ut det som vart lagt i kofferten og du blir mistenkt for narkotikasmugling. Vi får håpe at det skjer i eit land med eit velfungerande rettvesen og ikkje i eit land med skinn-rettar eller religiøse lover… God reise!

Eg viser til mine tidligare postingar om Schrems II-domen:

• Nok til å bli EU-motstandar
• Kan det bli verre, EU?
• Kva vil Datatilsynet?

4. juni kom det nye Standard Contractual Clauses for internasjonale overføringar. Eg har lese gjennom Annex to the COMMISSION IMPLEMENTING DECISION on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679. Rull ned til side 22, SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES og Clause 14 Local laws and practices affecting compliance with the Clauses.

(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.

Her skal handsamingsansvarleg og datahandsamar garantere at datahandsamar ikkje kan bli pålagt å utlevere i strid med GDPR og menneskerettane i EU. Det krev ei stor innsikt i både lovverk og praksis i landet (utanfor den europeiske sone eller land med tilstrekkelegheitserklæring for personvern).

Eg har utheva ei setning som eg meinar har relevans med tanke på amerikanske selskap. Om ikkje eg hugsar feil fastslo EU Court of Justice (EUCJ) at overvakinga i USA exceed what is necessary and proportionate in a democratic society. Domen slo fast at overvakingslovene i USA er eit brot på GDPR og menneskerettane nedfelt i mennesrettscharteret i EU. Vi veit dermed at det for amerikanske selskap/konsern (Microsoft, Google, Apple, Oracle osv.) ikkje vil vere mogleg å kunne garantere noko i tråd med Clause 14.

Eg registrerer også at ein har fått inn ei fotnote 12 som strekker seg over nederste del av side 22 og 23:

As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.

Eg har utheva noko sidan innsyn etter Foreign Surveillance Act (FISA) ikkje legg til rette for varsling av handsamingsansvarleg eller objektet/personen etterretninga vil ha innsyn i, slik at ein kan bestride innsynet i ein rett. Verksemda vil(/kan) bli pålagt «gag order» som gjer at dei har teieplikt om innsyn. Ergo kan ein heller ikkje rapportere at det har vore innsyn.

Oppsummering:

• Amerikanske tenester kan ikkje brukast til å handsame persondata (i klartekst), sjølv med nye SCC.
• USA må endre sine overvakingslover før det kan bli lovleg.
• I praksis må du bruke skytenester fullt ut eigd og levert innafor det europeiske økonomiske område (EEA) eller i land med tilstrekkelegheitserklæring for personvern. For alle andre stadar vert det kravd omfattande innsikt, forståing og dokumentasjon av lov og praksis i landet til datahandsamar og eventuelt landet der datahandsaminga finn stad i, til at det vil vere for kostnads- og tidskrevande å kartlegge og følgje opp for mange verksemder.