Der er sprunget en bombe under brugen af cloud-tjenester, efter Det Europæiske Databeskyttelsesråd (EDPB) d. 11 november offentliggjorde nye vejledninger til tredjelandsoverførsler.
Europæiske virksomheder og myndigheder har nemlig udsigter til at skulle fravælge amerikansk hostede cloud-tjenester i fremtiden.
- emailE-mail
- linkKopier link
Tophistorier
For at deltage i debatten skal du have en profil med adgang til at læse artiklen. Log ind eller opret en bruger.
- Sortér efter chevron_right
- Trådet debat
kan man ikke stadig bruge Office 365 til privat brug?
Ja, man skulle tro, at de finder ud af noget. På den anden side synes jeg, at vi nu i årevis har set den ene juridiske konstruktion efter den anden falde fra hinanden når det gælder dette.
Det blivere dyrere. Derfor er det ikke sket noget. Nu er det en grund til at gøre det.
Måske de amerikanske virksomheders success faktisk skyldes at de er istand til at leverere et produkt der i stor grad virker? mht. sikkerhed så er det jo ikke fordi de danske cloud leverandører har en speciel god track record, for ikke at tale om de danske myndigheder. Så fri mig for "vi kan gøre det bedre selv"!!
Jge er ganske enig i at de store amerikanske cloud leverandører leverer et produkt af højere kvalitet end hvad man finder andre steder. Derfor kan vi ikke leve uden dem nu. På sigt ville det være rart med mere konkurrence og en situation hvor der er større adskillelse mellem software leverandør, hardware leverandør, datacenter ejer, datacenter operatør, ejer af kunderforhold, etc. Men der kræves en mere moden teknologi. Og hvis det skal kunne svare sig at drive en virksomhed der er markant mindre end de stores, så skal vi nok også have en kæmpe bunke open source ind.
Måske de amerikanske virksomheders success faktisk skyldes at de er istand til at leverere et produkt der i stor grad virker? mht. sikkerhed så er det jo ikke fordi de danske cloud leverandører har en speciel god track record, for ikke at tale om de danske myndigheder. Så fri mig for "vi kan gøre det bedre selv"!!
De fleste disse har alligevel datacentre inden for EUs grænser, så mon ikke det i sidste ende kan løses administrativt?
Michael:
Ja, man skulle tro, at de finder ud af noget. På den anden side synes jeg, at vi nu i årevis har set den ene juridiske konstruktion efter den anden falde fra hinanden når det gælder dette.
Her er en ret usædvanlig konstruktion, som måske er en prøveballon. Jeg må indrømme, at jeg ikke forstår, hvad den helt konkret går ud på (og hvad Google får ud af det): https://www.ovh.com/world/news/press/cpl1692.ovhcloud-and-google-cloud-announce-strategic-partnership-co-build-trusted-cloud-solution-europe
Derudover skriver Microsoft, at man vil kompensere kunder økonomisk, hvis virksomheden alligevel bliver nødt til at udlevere oplysninger.
Nej, altså bare nej. Enten sikrer man sig at data ikke kan udleveres eller også gør man ikke, og så fortjener man den store bødeblok.
... for selvfølgeligt bliver det muligt for dem at indrette sig sådan at det juridisk hænger sammen. Fx. kunne det være at ejerskabet af udstyr i datacentre og den specifikke drift af datacentre ejes af en europæisk virksomhed, men at alt salg sker gennem den amerikanske virksomhed som også ville være dem man køber service af.
På den måde ville det amerikanske selskab være ude af stand til at komme til data selv med en kendelse fra en amerikansk domstol. Alt de kunne gøre var at lukke for kontrakter og/eller udstyr. Kundernes vil opleve at det bliver lidt dyrere fordi drift nu skal ske ud af Europa (dyrere lønninger; natarbejdet, etc.).
Norge er næppe et problem, da de formentlig vil blive klassificeret som et sikkert tredieland. Problemet er at USA er klassificeret som et usikkert tredieland.
Norge er ikke et tredjeland pga. EØS medlemskab. GDPR gælder direkte i hele EU/EØS, herunder Norge.
Norge er næppe et problem, da de formentlig vil blive klassificeret som et sikkert tredieland. Problemet er at USA er klassificeret som et usikkert tredieland.
Hvis data kommer udenfor EU’s område, så kan man som registreret risikere, at det bliver brugt på en anden måde end tilsigtet eller uden ens vidende, og man ikke kan håndhæve de rettigheder, man har i EU.
Det må jo så også betyde at det er slut med at have et amerikansk firma til at køre NemID, fra servere som fysisk står i Norge, som jo er udenfor EU.
Kunne man være så heldig at serverne rent faktisk kom til at stå i Danmark igen.
Nok næppe, nu er nets jo solgt til italienerne så der går nok ikke lang tid før det hele hostes fra en spaghetti server i Fiat land.
GDPR er sat i verden for at øge hensynet til vort privatliv, så selvfølgeligt koster det penge.
De penge det koster, er jo primært de penge der ikke blev brugt rettidigt ift. at etablere EU-ejede & -hostede tjenester da man migrerede til cloud...
Det er super-ærgerligt, hvis det betyder, at europæiske virksomheder og organisationer får endnu sværere ved at drive løsninger i skyen.
Groft sagt, så har rigtig mange offentlige, såvel som private virksomheder, i årtier sat hensynet til pris, over hensynet til kundernes/borgernes privatliv.
GDPR er sat i verden for at øge hensynet til vort privatliv, så selvfølgeligt koster det penge.
Det giver så den mulighed for europæiske Cloud-udbydere at de i mindre grad skal konkurrere med udbydere, der ikke er underlagt disse krav.
For mange brancher, tror jeg at dette har meget mindre betydning, end feks. kravene til miljø, arbejdsmiljø etc.
Klavs: Spændende med Hetzner's Kubernetes-tilbud.
Jeg kender bare ikke til nogle firmaer eller større offentlige organisationer, der bruger Hetzner. Eller ovhcloud.
Eneste løsning, som jeg kender, er at DK Hostmaster mig bekendt drifter nogle ting hos gandi.net.
Jeg henvendte mig til DT for at høre, om man nu skulle sætte gang i de helt store IT-forandringer i ens virksomhed, eller om der kommer flere udmeldinger, som evt. kunne ændre på kravene og mulighederne. De sagde noget i stil af: afvent udviklingen af situationen. Så de kommer nok nødig til at sende bøder ud inden for den næste stykke tid. Så er det bare om at sikre, at man er transparent over for de registrerede/dataansvarlige.
EDPB-anbefalingerne er til høring, de nye SCCer er til høring, EU har stadig nogle igangværende dialoger med USA, så det er muligt, at der sker noget på den front. Derfor er det nok en god idé, lige at vente med at tage nogle skridt hen imod at komme væk fra amerikanske leverandører, for ikke unødvendigt at spilde penge på løsninger på en problemstilling, som ikke helt er afklaret endnu.
Men ja... man kan nok godt lave to risikovurderinger og konsekvensanalyser ift. hvad der vil ske, hvis a) der ikke sker mere på området, og vi derfor skal acceptere dommen, vejledningen og anbefalingerne, samt igangsætte de store it-ændringer, og b) der alligevel sker noget, som kan gøre, at brug af amerikanske leverandører lovliggøres.
Til "rå datakraft" er det rigtigt at der er flere europæiske leverandører. Problemet er dels modenheden af deres integrations- og administrationsværktøjer, og især cloud tjenester højere oppe i softwarestakken.
Tænk Salesforce, Office 365, Slack, Zendesk, ServiceNow, Splunk.
Ja der findes alternativer, men de er bare ikke nær så udbredte. Og migrering bliver et helvede.
Der er jo heldigvis datacentre som Hetzners - der jo har hjemstad i tyskland og som jo nok, får lidt mere vind i sejlene nu? :) De har ikke de samme services, som Amazon og Google, men nu får de da lige en hjælpende hånd til at komme igang med noget GUI og kubernetes.
Mange der kører GKE og Amazons EKS - vil "rimelig nemt" kunne flytte til at bruge Hetzner - da man kan leje både virtuelle og fysiske maskiner hos dem til at køre sit kubernetes setup på.
Der er MANGE vejledninger til det - bl.a. her https://blinkeye.github.io/post/public/2019-07-25-hetzner-k8s-with-private-network/ -på at få et kubernetes setup op på 15 min. hos Hetzner.
Jeg har ingen aktier i Hetzner - jeg er bare glad for at se konkurrence - især med spillere indenfor EU :)
Så umiddelbart ser jeg ikke det er så svært at finde en europæisk cloud leverandør?
Så kan det ikke vare længe inden vi ser EU hardware og software.
Mange computer-IT-firmaer har baser i Irland, der som bekendt er del af EU.
Spørgsmålet er vel om der rent-rum og fabrikker til at muliggøre EU-udviklet maskinel, som er originalt?
Det er super-ærgerligt, hvis det betyder, at europæiske virksomheder og organisationer får endnu sværere ved at drive løsninger i skyen.
Det er ikke kun under Trump, at der har været uforudsigelig datasikkerhed for europæeres data i USA. Og derfor er det på tide at få analyseret, hvad der er baggrunden for, at der er så få cloud-leverandører med europæisk hovedsæde.
Der er utvivlsomt noget first-mover effekt over det. Og det er nok også noget med, at USA har nogle meget stærke IT-klynger inklusive stærke VC-miljøer. Men jeg synes ikke, at det kan forklare det hele.
Rent lavpraktisk tror jeg, at det er vigtigt for os, at IPv6 vinder større indpas. Det er simpelthen ret svært at etablere nye større cloud-løsninger, hvis man skal nusse rundt med de mikroskopiske IPv4 allokeringer, som er tilbage at få fat i. Europæiske IPv4-adresser per indbygger er mig bekendt betydelig færre end i USA. Hvis jeg var diktator i EU, ville jeg derfor kræve, at alle offentlige udbud i EU fremover kræver, at løsninger er tilgængelig over IPv6.
Hvad kan man ellers rent praktisk gøre for, at vi på denne side af atlanten bliver mere selvrådende mht. cloud?
Tryk avler modtryk og det bør ikke komme som en overraskelse at USA ikke kan betragtes ”som sikker havn”. Det eneste som er overraskende, er at det har taget så lang tid.
Personligt tvivler jeg dog på at det er noget større problem, da Tech giganterne jo i forvejen har datacentre rundt om i verden – og mon ikke at de allerede har forberedt dette? Man skal i hvert fald være godt tonedøv, hvis ikke man har forstået at den nuværende situation er utilfredsstillende for EU.
Det er simpelthen ikke meningen at f.eks. NSA skal kunne masseovervåge EU’s borgere via Tech giganternes infrastruktur. Et ting er hacking, spionage og lignende tiltag – noget andet er at stille infrastruktur og knowledge til rådighed for gennemføre krænkelser af EU’s borgere.
Det er ikke nok når Microsoft skriver at man vil modsætte sig alle myndigheders anmodninger om dataudlevering, hvis det er i strid med GDPR. Data skal både være krypteret men også formentlig også opbevares indenfor EU’s jurisdiktion således at ikke EU-landes retskendelser ikke fysisk kan gennemføres.
Masseovervågningen er problemet eller mere præcist – den uansvarlige (masse-) overvågning!
Havde man ”nøjes” med at gå efter ”bad guys” var der næppe nogen som interesserede sig for masseovervågningen eller kryptering – udover de deciderede nørdmiljøer.
Og det er tankevækkende at f.eks. PET og FE ikke kan se den selvskade den bevidstløse masseovervågning påfører dem selv.
»Hvis data kommer udenfor EU’s område, så kan man som registreret risikere, at det bliver brugt på en anden måde end tilsigtet eller uden ens vidende, og man ikke kan håndhæve de rettigheder, man har i EU.«
Godt at emnet bliver behandlet med alvor. Tak for det.