KOMMENTAR: Kan du fortsatt bruke din amerikanske skytjeneste?

[Redaksjonen.]

KOMMENTAR: Kan du fortsatt bruke din amerikanske skytjeneste?

[Leorand]

Dette handler vel mer om risikoaksept? For slik jeg leser dette så vil ikke lengre EU akseptere risikoen via Privacy Shield, og overlater til den enkelte organisasjon å selv håndtere dette via SCC? 

 

For risikoen som ligger i seksjon 702 av FISA, i CLOUD-ACT og seksjon 14 av presidentens  Executive Order som kom 25. januar 2017, den er jo den samme uavhengig av SCC eller Privacy Shield?  Med mindre man kan avtale seg bort fra loven, men antar at det ikke er tilfellet her?

[Viking1]

Begrepet "amerikanske skytjenester" som benyttes i overskriften, er relativt upresist. De tre store amerikanske aktørene som leverer frittstående skytjenester (Google, Microsoft og Amazon) har sine servere over hele verden, og kundene kan selv velge hvor de vil at dataene skal lagres. Det er derfor ikke noe problem å sikre sine sensitive data i henhold til GDPR. Når det er sagt, så innebærer ikke lagringsstedet den største utfordringen med tanke på personvern. Tilgangskontroll, autorisasjon, kryptering etc. er langt viktigere enn hvor dataene ligger.

Facebook derimot er ingen skytjeneste, men en proprietær samhandlingsplatform. Hvor Facebook (og de andre store samhandlingsplatformene) lagrer sine (dine) data, har ingen av oss noen kontroll på. Det blir fort useriøst å dra alt over samme kam.

[Leorand]

5 hours ago, Viking1 said:

De tre store amerikanske aktørene som leverer frittstående skytjenester (Google, Microsoft og Amazon) har sine servere over hele verden, og kundene kan selv velge hvor de vil at dataene skal lagres. Det er derfor ikke noe problem å sikre sine sensitive data i henhold til GDPR.

Nja, tror nesten du har en liten jobb å gjøre med å lese deg opp på hvordan disse lovene fungerer. Anbefaler å starte med bakgrunnen for CLOUD-Act. Wikipedia har en grei oppsummering der. Deretter bør du ta en titt på hva utfordringene i seksjon 702 av FISA faktisk innebærer. Dette er et element som var vesentlig i dommen som kom også.

Men kort oppsummert så er utfordringen at disse lovene gir amerikanske myndigheter rett til å kreve data utlevert fra amerikanske selskaper (som bla.a Google, Microsoft, osv) uavhengig av hvor i verden de har lagret disse dataene.

Det vil i praksis si at myndighetene i USA kan be Microsoft om å utlevere data tilhørende norske kunder, lagret på servere lokalisert i datasentre de har i Norge, uten at det norske myndigheter har noe det skulle ha sagt. De blir ikke en gang informert.