Schrems II: Problem at klippe ledningerne til amerikanske cloudtjenester

By 
Jacob Høedt Larsen
April 26, 2021

Lad os klippe ledningerne til amerikanske cloudtjenester og finde andre løsninger. Det har mange tænkt var konsekvensen af Schrems II-dommen, især efter EDPB’s såkaldte use-case 6. Men det vil både være dyrt og dårligt at afskære sig fra amerikanske cloudtjenester, sagde flere i panelet til et PrivacyBoozt webinar fredag den 12. marts.

Se hele webinaret her:

I november sidste år fremlagde EDPB (Det Europæiske Databeskyttelsesråd) sit forslag til anbefalinger om supplerende foranstaltninger til overførsel af personoplysninger til tredjelande. Især den såkaldte use case 6, hvor EDPB beskrev overførsler til cloud services og andre databehandlere, som skulle kunne se data i klar tekst, vakte dengang opsigt.

Henning Mortensen forklarer hvorfor:

“EDPB siger i use case 6, at data ved overførsler til tredjeland skal være krypterede, både i transit og når de lagres - dette gør det meget svært at bruge cloudløsninger,” sagde han på et webinar, hvor han diskuterede Schrems II og overførsler til tredjelande med Ole Kjeldsen, CTO i Microsoft, advokat Max Gersvang Sørensen fra Gorrissen Federspiel og Lene Gram Skjoldager fra Wired Relations.

Han kalder dét at klippe kablerne til cloudløsningerne for “absurd”.

Klippede kabler er en dårlig løsning

“Jeg har hele tiden ment, at det er ganske problematisk at klippe cloudløsningerne over i så høj grad, som EDPB lægger op til. Rigtigt mange af de store, gode sikkerhedsleverandører, vi bruger, er amerikanske. Det vil sige, at vores logningsteknologier, vores data discovery teknologier, er amerikanske. Og selvom data ikke bliver behandlet i skyen, så sker der jo en behandling hos de her leverandører. Så hvis man forestiller sig den helt absurde situation, at man skærer de amerikanske leverandører væk, så får vi dårligere sikkerhed i Europa. Det er et perspektiv, som er værd at tage med,” sagde Henning Mortensen.

Ole Kjeldsen fra Microsoft gav Henning Mortensen ret:

“Kunne vi klippe kablet? Ja. Det kunne vi, men det ville betyde en funktionsnedsættelse fra dag et. Vi har jo bygget vores infrastruktur op om, at reguleringen er, som den er. Hvis reguleringen ændres, så skal vi ændre på vores driftsmodel. Kan vi det? Helt sikkert. Men jeg forestiller mig ikke, at det på den korte bane er en holdbar løsning. Det vil kræve enorme ændringer i vores driftsmodel. Pludselig opstår der et problem, og der er kun to mennesker i verden, der kan løse det. Men de sidder altså ikke i Europa. Vi kan ikke have alle de her kompetencer tilgængelige i alle regioner. Alt kan lade sig gøre for penge. Men så skal vi betale for mere, fordi der er en - undskyld mig - tænkt risiko,” sagde han.