“Amerikanerene vedtok nettopp en lov som sa at myndighetene skal ha tilgang til all data fra alle amerikanske selskap, mens Schrems II-dommen gjør at det er ulovlig for selskap å gi info om europeere over landegrensene. Disse lovene er helt i kollisjon, men ingen vet hva de skal gjøre med det enda. Alle som bruker en skytjeneste eller en plattformtjeneste blir jo berørt av dette. Men ingen vet hva de skal gjøre!”
Omtrent dette ble sagt i lunsjen på onsdag. Og siden jeg er inne på dette med sky for tiden, så ble jeg litt ekstra nysgjerrig på hva som lå bak dette utsagnet.
Begrepsavklaring
Først litt kjapt om GDPR, Schrems II, og CLOUD act.
GDPR (General Data Protection Regulation) er den europeiske lovreguleringen rundt det å behandle og lagre informasjon om borgere av EU (og i forlengelsen EØS). Fra 20 juli 2018 er loven en del av norsk lovgiving. GDPR er omfattende og komplisert.
Schrems II er betegnelsen på en dom avsagt i EU-domstolen 16. juli 2020 som i korte ord etablerte at europeiske borgeres personvern ikke blir ivaretatt i USA på grunn av “de vide hjemlene til amerikansk etterretning og at europeiske borgere ikke har god nok mulighet til å overprøve beslutningene om overvåking.” (som Datatilsynet formulerer det 16.07.2020).
CLOUD Act (“The Clarifying Lawful Overseas Use of Data Act“) er en amerikansk lovgiving som gjør justeringer til Stored Communications Act (SCA) fra 1986. Denne loven gir amerikanske politimyndigheter anledning til å kreve lagret informasjon fra amerikanske teknologiselskap. Oppdateringen i Cloud Act er at dette gjelder uavhengig om serverene informasjonen er lagret på befinner seg i USA eller andre land.
Skytjenester og underleverandører
Forrige innlegg interoduserte jeg begrepet “Plattform som en Tjeneste”, eller PaaS som det oftere heter. En utfordring med slike plattformer er at veldig mange bruker Microsoft, Amazon eller Google. Amerikanske plattformer. Det betyr altså at selv om programvaren og alle applikasjoner er egne og selvutviklede for bedriften ikke har noe å si (angående dette). Under laget – i infrastrukturen, ligger alt lagret hos amerikanske selskap. Selskap som må utlevere data ved krav fra amerikanske myndigheter – uavhengig hvor serverene er.
Når det gjelder personvern er det fort de offentlige tjenestene mine tanker går til.
Offentlig-paas.no (som jeg altså er helt overivrig over å ha snublet over) hinter til at de fleste offentlige (selvutviklede) tjenestene bruker kubernetes. Og jeg skal være ærlig og si at jeg er på litt tynn is her (-kan du masse om kubernetes, gjerne ta kontakt og lær meg). Men dette er hva jeg forstår av kubernetes (etter å ha lest på kubernetes.io): Det er et open source verktøy som gjør deg uavhengig av plattform. Det vil si at du får en slags mellomting mellom IaaS og PaaS. Du får valgmulighetene og kontrollen til infrastrukturen som du ville hatt med IaaS, samtidig som du får en plattform du kan bygge programvare på (som ved PaaS). En slik “mellomløsning” blir som regel kalt CaaS (Container as a Service). Det virker (betryggende nok) som om mange av de offentlige tjenestene allerede fikler rundt med dette.
Fordi: dersom du har en tjeneste som er tungt integrert med Microsoft Azure (for eksempel), så er det ikke bare å “bytte”. Og bruker du amerikanske tjenester er det knapt mulig for dem å sikre at GDPR faktisk blir fulgt, uten at de bryter loven i sitt hjemland (ved å ikke samarbeide med politet). Altinn ligger på Microsoft Azure (altinndigital.no, 19.02.2021). I samme slengen nevnes det at “Digitaliseringsdirektoratet har ikke fattet beslutninger som gjør at vi kommer til å «flytte hjem» løsninger som er i sky på nåværende tidspunkt.”
“Å flytte hjem” – selv om det er noe jeg brenner for (hadde jeg jobbet i DigDir hadde jeg argumentert kraftig for at all norsk data skal befinne seg i Norge) – er vel strengt tatt ikke nødvendig, det er mange land i EU som er omfattet av de samme rammene som…. vel, EU. Det er særlig amerikanske tjenester som er i fokus i denne problemstillingen, og det er generelt flest amerikanske tjenester.
Hva blir konsekvensene for meg?
Ryktebørsen går, og det er de som tror denne dommen er slutten på skytjenester. “On prem”-tjenester, eller altså da å lagre alt “hos seg selv” er plutselig mer i vinden igjen – som om vi går tilbake noen år.
Men hva blir egentlig konsekvensene for sånne som meg og deg? Sannsynligvis flere arbeidsplasser til konsulenter – både juridiske og innen skyteknologi. Det blir mange endrede systemer og flere tjenester som utvikles. Det blir kanskje ikke de store tydelige konsekvensene for meg og deg – men det er en sånn langsiktig utvikling som blir interessant her. Jeg tror det hele kan dreie seg mot en langt mindre amerikansk dominans i teknologimarkedet på sikt. Mer nasjonalisme i lagringsstrukturen – flere tjenester lagres på norsk jord av mer lokale leverandører. Det vil også bli vanskeligere for tjenester som Dropbox å få tillit. Særlig når de så tydelig understreker at de følger GDPR til punkt og prikke – selv om vi vet at de har serverene sine i USA.
Hva blir konsekvensene?
EDPB (The European Data Protection Board) ga ut en rapport 10. november 2020 om hvordan selskap kan møte utfordringer knytte til Schrems II-dommen. Her er en link til rapporten i sin helhet (den er overraskende tydelig til offentlig rapport å være). Den gir flere råd og om å blant annet ettergå tjenester og å innføre ytterligere beskyttelsestiltak for å møte kravene som nå stilles.
I min søking rundt dette tema kommer jeg fort til tilbud om konsulenthjelp for å “innføre ytterlige beskyttelsestiltak” som det er krav om bedrifter for å gjøre – om de skal følge GDPR. Noe en bedrift vil, for det finnes trusler om ganske høye bøter om du ikke tilpasser deg GDPR. (Europeiske tilsynsmyndigheter har skrevet ut bøter for svimlende 272,5 millioner Euro siden 2018 kan Finansavisen fortelle 19.01.2021).
“Beskyttelsestiltak” fra kunden sin side er bra, men er det nok?
Noen skyleverandører går kraftig ut for å berolige sine kunder. Microsoft får jevnlig gjennomgå av Max Shrems på Twitter (den Schrems som har gitt navn til dommen) for sine forsøk på å “renvaske” seg:
Og samtidig kan det godt være Microsoft er først i klassen her – jeg har ikke sett Schrems kritisere Amazon (AMZ) like tydelig – det henger kanskje sammen med at de ikke har tatt seg bryet med å sette seg inn i problemstillingen i det hele tatt?
Dropbox har gått for løsningen å la være å svare på spørsmålet offentlig. Vi kan vel bare spekulere i hva det skal bety.
Advokatmat
Som med GDPR er det egentlig ikke teknologi som blir utfordringen – det er det juridiske. Men det juridiske må ha kunnskap om den teknologiske infrastrukturen for å i det hele tatt forstå utfrodringene. Heldigvis har mange også det. Jeg får opp en del treff, og her er to:
Advokatfirmaet PwC uttrykker “Flere av skytjenesteleverandørene viser til at de lagrer personopplysninger i datasentre innad i EU/EØS, og at de derfor ikke er underlagt kravet som følger med overføring av personopplysninger til tredjeland. Her må det bemerkes at ren teknisk tilgang i seg selv anses som en overføring av personopplysninger.” (pwc.no, 18.11.20, min kursiv).
Advokatfirmaet Scjødt (schjodt.no, 06.10.2020) antyder rett ut at skylagring som vi kjenner det kommer til å endres, fordi slik det er nå er det ikke sannsynlig å unngå tilgang til personlig data ved bruk av skytjenester:
For cloud services, high availability requirements are normally required, often “24/7/365”. In order for this to be practically feasible, technical personnel may have to access the database containing personal data – encrypted or not – through remote access from different time zones. In other words, a “transfer” happens if a consultant/operator in the United States can access personal data on a European server, for example when supporting an ERP system. Many cloud service providers have also explicitly reserved the right to grant such remote access in its standard agreements with the customer.
Det er med andre ord egentlig ikke helt innafor å bruke tjenestene slik vi gjør i dag. Men det er jo veldig komplisert – hvordan gjør vi det nå? La meg ta meg selv om et eksempel. Jeg er jo enig i at mitt personvern er viktig. Jeg har fremdeles ikke sluttet å bruke Dropbox. Det går på den gamle “hvis du ikke har noe å skjule, hvorfor beskytte det”. Jeg har ikke noe å skjule – men det er likevel ikke det som er poenget med dette. Poenget med dette er at dette er på SYSTEMNIVÅ.
“Alle” gjør det – altså bruker tjenester som i europeisk domstol rett og slett har blitt dømt til å være uskikket til å ta vare på personvernet til europeiske borgere. Og når dette skjer på system er det et problem.
Men hvordan skal man endre et system – et system basert på teknologi og juss som er så komplisert at de aller fleste ikke aner hvordan noen av delene fungerer?
Så langt virker konklusjonen fra lunsjen ganske riktig: Ingen vet helt hva de skal gjøre.
