Microsofts datasentre i Norge: Dette vet vi få uker før åpning [Ekstra]

[Redaksjonen.]

Microsofts datasentre i Norge: Dette vet vi få uker før åpning [Ekstra]

[[email protected]]

Dette er gode nyheter og vil føre til at flere våger å flytte sine tjenester ut i skyen. Håper samtidig at Microsoft stopper praksisen med å rute sharepoint trafikk, som riktignok lagres i Europa, via USA (Virginia). Da vil dette bli en sikker og god løsning for fremtiden.

[Leorand]

At dataene er lagret på norsk jord, er ikke det samme som at det kun er norsk rett som avgjør krav om innsyn. Så lenge det er et amerikansk foretak som drifter tjenesten, så er de underlagt amerikansk lov. FISA og CLOUD-ACT er to som er litt problematiske i forhold til GDPR f.eks. 

 

Det er to spørsmål man må stille seg før man går ut i skyen:

 

Er det en akseptabel risiko at en annen stats myndigheter har lovhjemler til å skaffe seg innsyn i dine data? Er svaret ja, så er det ingen problemer - og da spiller det heller ingen rolle hvor selve dataene ligger lagret.

 

Er svaret nei, må man stille følgende spørsmål til sky-leverandøren: "Kan dere garantere at det kun er norsk rett som avgjør krav til innsyn i våre data". Kan de ikke det, og man ikke kan akseptere risikoen, må man se seg om etter annen leverandør.

[Pop]

Vil veldig gjerne se rettspraksis her. GDPR skal i utgangspunktet sikre innbyggerne mot nettopp innsyn/utleveringen amerikanske myndigheter prøver å skaffe seg hjemmel til.

[Leorand]

Vil veldig gjerne se rettspraksis her. GDPR skal i utgangspunktet sikre innbyggerne mot nettopp innsyn/utleveringen amerikanske myndigheter prøver å skaffe seg hjemmel til.

 

En god juridisk vurdering ville vært nyttig. Og da helst en som kunne publiseres. Nederland har gjort en DPIA på Office365, og der fremkommer det en del interessante ting. Blant annet at kundens data gjennomleses for bruk i markedsføring (samme måte som Google gjør med GMail).

 

Og avgjørelser i amerikansk rett vil nok ha mer fokus på amerikansk lovgivning enn europeisk, slik at GDPR vil tape opp mot f.eks. FISA eller CLOUD-ACT.