Spørgsmål fra deltagerne på Schrems II-eventet, der samlede over 750 deltagere...

Da ComplyClouds CEO og it-advokat, Martin Folke Vasehus, gæstede Schrems II-konferencen den 28. januar, sammen med Allan Frank fra Datatilsynet nåede de ikke at besvare alle de gode spørgsmål, der kom ind fra deltagerne omkring Schrems II og tredjelandsover-førsler. 

Vi forsøger her at samle op på de mest interessante af dem, og lader Martin Folke Vasehus give sit besind med.

Kommer du fra en offentlig virksomhed? 
Vi også samlet de spørgsmål, der blev stillet fra de offentlige virksomheder. Hop direkte til disse her.

1

Spørgsmål: “Hvis der i databehandleraftalen står, at databehandleren ikke overfører data til tredjelande, bør man så stole på det eller være mere kritisk som dataansvarlig, hvis man har mistanke om, at det ikke er rigtigt?” 

Svar: Den dataansvarlige kan som udgangspunkt stole på indholdet af databehandleraftalen. Hvis den dataansvarlige har en begrundet mistanke om, at databehandleren ikke overholder databehandler-aftalen, ved eksempelvis at benytte underdatabehandlere, som ikke er angivet i databehandleraftalen, vil den dataansvarlige være forpligtet til at undersøge dette nærmere. Den dataansvarlige bør således i sådanne tilfælde rette henvendelse til databehandleren. Derudover er den dataansvarlige efter Datatilsynets praksis forpligtet til at føre løbende kontrol med behandlingen af personoplysninger hos databehandleren, hvilket også indebærer en kontrol med underdatabehandlere.  

Spørgsmål: “Hvorfor spilde tid på alle disse skøn og vurderinger, når det ultimativt ender med no-go pga. FISA 702? Man kan vel ikke acceptere en risiko på den registreredes vegne?”

2

Svar: FISA 702 omfatter ikke alle amerikanske virksomheder, og derfor ikke alle overførsler af personoplysninger til USA. Hertil kommer også, at supplerende sikkerhedsforanstaltninger kan imødegå en eventuel risiko for de registreredes rettigheder, der måtte være til stede ved overførslen. Der kan derfor være gode grunde til at undersøge, om (eller hvordan) man lovligt kan overføre personoplysninger til en virksomhed i USA. Og der er gode grunde til at dokumentere sådanne undersøgelser for at kunne påvise overholdelse af GDPR.

3

Spørgsmål: “MS Azure har datacentre i Europa. Er det ikke tilstrækkeligt [for at være compliant med Schrems II, red.]”

Svar: FISA 702 giver amerikanske efterretningstjenester adgang til at kræve data udleveret fra virksomheder placeret i EU, når virksomhederne har amerikanske moderselskaber, der er omfattet af FISA 702. Hvis man har geolokationsgaranti hos Microsoft, har man derfor en såkaldt ”sekundær” Schrems II-risiko, som man er forpligtet til at undersøge og vurdere.

Spørgsmål: “Både IBM og Google har annonceret, at de kan knække almindelig kryptering med deres kvante-computere. Så kan kryptering vel ikke lovliggøre overførsel til tredjelande?”

4

Svar (Vi har her bedt Michael Albek, SecureDevice, om at besvare spørgsmålet): IBM og Google ligger begge på ca 100 qubits i deres kvante-computere. Det gør dem i stand til at bryde kryptering ca. 100 gange langsommere end de hurtigste super-computere i verden, samtidig med at de bruger en del mindre ressourcer på det.

Efterhånden som disse computere vokser i kapacitet, bliver de bedre til at bryde de nøgler, der bruges i dag. Det er beregnet, at en 2048-bit RSA nøgle kan brydes på otte timer ved hjælp af en 20 milioner qubit computer, men der er stadig en del år til, at det findes.

Thales HSM er på forkant med kvante-computere. Der findes i dag en række måder at beskytte sig mod kvante-algoritmer på. Den bedste ser lige nu ud til at være anvendelsen af af “Quantum Random Number Generation”. Det vil i bund og grund sige, at der er mange resultater, der er “rigtige” set ud fra en kvante-algoritmes synspunkt. Det gør, at en kvante computer skal bruge meget mere kraft på at finde den rigtige nøgle, og dermed vil de faktisk være dårligere til at bryde disse nøgler.

5

Spørgsmål: “Ud fra hvad vi har hørt om FISA osv., hvordan kan det så være lovligt – uanset mængden af assessments og lignende – at opbevare data hos nogle af de store (Microsoft, Google, AWS osv.)?”

Svar: Der skal overordnet foretages en vurdering af, hvorvidt der sikres et beskyttelses-niveau for den registreredes grundlæggende rettigheder, som i det væsentlige svarer til det niveau, der er sikret i EU’s retsorden, herunder ChartretVed denne vurdering skal der blandt andet tages hensyn til de supplerende sikkerhedsforanstaltninger, som er iværksat. Det kan for eksempel omfatte kryptering af personoplysninger, inden de overføres til amerikanske cloud-leverandører lokaliseret i EU. 

Finder man ved denne vurdering, at man som organisation er i stand til at træffe supplerende foranstaltninger, som er tilstrækkelige til at garantere en sådan beskyttelse, kan man fortsætte overførslen af personoplysninger til den pågældende databehandler. Læs eventuelt mere herom i præmis 133 – 135 i Schrems II-dommen her.   

Spørgsmål: “Hvad mener ComplyCloud om kryptering som løsning til PII-data, hvor der er forbindelse til US datacenter?”

6

Svar: Kryptering af personoplysninger beskrives af Det Europæiske Databeskyttelses-råd (anbefaling 01/2020 af 10. november 2020) som en af de mulige supplerende sikkerhedsforanstaltninger, der kan lovliggøre overførsel af personoplysninger til lande uden for EU/EØS, hvis krypteringen er tilstrækkelig. Det uddybes i vejledningen, hvad der menes med tilstrækkelig kryptering. Se eksempelvis hertil Use Case 3 på side 24 i vejledningen. Kryptering kan muligvis være sværere at implementere, når personoplysningerne skal behandles i klartekst. 

7

Spørgsmål: “Hvad med overførsler mellem to dataansvarlige? Hvad gælder her? Kan man bruge SCC?”

Svar:

Der findes på nuværende tidspunkt allerede SCC, der kan anvendes ved overførsler mellem to selvstændige dataansvarlige. Se beslutning 2004/915/EC her.  

De nye SCC kommer til at bestå af fire moduler, der hver har et sæt klausuler, der skal vedtages. Et af disse moduler omhandler overførsler af personoplysninger mellem to selvstændige dataansvarlige. Det forventes, at de nye SCC kan anvendes fra primo 2022.  

Spørgsmål: “Hvor svært/proceskrævende er det for hackere at knække krypteringen i dag? Hvad med kvantecomputere, som er på vej?”

8

Svar (Michael Albek, SecureDevice, besvarer spørgsmålet):

Det er ikke svært – det tager bare lang tid. De nøgler, vi bruger i dag, tager teoretisk 200-500 år at bryde. Det er dog uden at forholde sig til Moores lov, som siger, at for hver 18 måneder, der går, fordobles regnekraften. Det er derfor, det er vigtigt at skifte nøgler og opgradere sin kryptering løbende.

Alle krypteringsnøgler/-algoritmer kan brydes over tid. Engang blev DES (Data Encryption Standard) med sine 56 bit kryptering set som ubrydeligt i menneskers levetid. I dag kan en mobiltelefon bryde sådan en nøgle på et par timer.

Det er også vigtigt at forstå, at det er den teoretiske tid, det tager at prøve alle nøgler, som bliver brugt i de fleste beregninger. Tænk på det som at gætte et tal mellem 1 og 100. Nogle gange vil du ramme rigtigt første gang og andre gange sidste gang – men langt det meste af tiden vil det være et sted i mellem.

Spørgsmål fra offentlige virksomheder

Spørgsmål 1: “Hvad gør vi i kommunerne, når vi er bundet til leverandører så som KMD og mange andre, der benytter underdatabehandlere i stor stil – som jo ligger i USA eller har tråde til USA?”

Svar: Man er ikke undtaget forpligtelserne i GDPR, selvom man som kommune er bundet til en bestemt leverandør. Derfor må man overveje, om man skal stille krav til sine leverandører om, at de skal stille sikkerhed for overholdelse af GDPR.

Spørgsmål 2: “Er kommunen reelt forpligtet til at lave en risikovurdering for ibrugtagen af tjenester hostet hos amerikanske firmaer eller hos en leverandør, der benytter amerikansk hosting?”

Svar: Ja. Der skal således foretages en vurdering af de overførsler af personoplysninger, der finder sted ved en sådan ibrugtagen ved at kortlægge eventuelle risici for de registreredes rettigheder, der er ved overførslen og sammenholde risiciene med de sikkerhedsforanstaltninger, der er implementeret for at imødegå dem. På baggrund af denne vurdering må kommunen så tage stilling til, om det er forsvarligt at benytte databehandleren.

Spørgsmål 3: “Okay, der udarbejdes en risikovurdering – og hvad så? Vi kan jo ikke bruge Linux og lokalt hostede datacentre på alt. Så stopper al udvikling, og vi skal 20 år tilbage?”

Svar: Se svaret ovenfor. Der skal udarbejdes en risikovurdering ved overførsler af personoplysninger til lande uden for EU, der kan indebære en risiko for de registreredes rettigheder. Afhængig af udfaldet af risikovurderingen kan man som dataansvarlig være forpligtet til at ændre eller stoppe overførslen af personoplysninger – ellers løber man en risiko for at bryde loven.

Spørgsmål 4: “Hvis KL eller staten kan vurdere om et land er sikkert, så burde alle virksomheder vel kunne anvende vurderingen, så ikke alle skal gøre dette?”

Svar: Som udgangspunkt bør man foretage sin egen vurdering. Man bør dog kunne anvende allerede foretagne vurderinger som inspiration – især hvis omstændighederne vedrørende overførslerne, herunder behandlingerne af personoplysninger, er de samme. Man skal dog have sig for øje, at det ikke er sikkert, at en sådan vurdering er foretaget korrekt, og at man som dataansvarlig stadig selv er ansvarlig for sin egen vurdering. 

Spørgsmål 5: Hvor svært/proceskrævende er det for hackere at knække krypteringen i dag? Hvad med kvantecomputere, som er på vej?”

Svar (Michael Albek, SecureDevice, besvarer spørgsmålet): Det er ikke svært – det tager bare lang tid. De nøgler, vi bruger i dag, tager teoretisk 200-500 år at bryde. Det er dog uden at forholde sig til Moores lov, som siger, at for hver 18 måneder, der går, fordobles regnekraften. Det er derfor, det er vigtigt at skifte nøgler og opgradere sin kryptering løbende.

Alle krypteringsnøgler/-algoritmer kan brydes over tid. Engang blev DES (Data Encryption Standard) med sine 56 bit kryptering set som ubrydeligt i menneskers levetid. I dag kan en mobiltelefon bryde sådan en nøgle på et par timer.

Det er også vigtigt at forstå, at det er den teoretiske tid, det tager at prøve alle nøgler, som bliver brugt i de fleste beregninger. Tænk på det som at gætte et tal mellem 1 og 100. Nogle gange vil du ramme rigtigt første gang og andre gange sidste gang – men langt det meste af tiden vil det være et sted i mellem.

Spørgsmål 6: “Når Datatilsynet siger, de vil have ekstra fokus på tredjelandsoverførsler – hvad vil det så sige? Hvad omfatter det?

Svar: Dette betyder, at Datatilsynet vil føre tilsyn med en række private virksomheders og offentlige myndigheders overførsler af personoplysninger til lande uden for EU. Datatilsynet vil formentlig have fokus på, at man som ”dataeksportør” har sikret et lovligt overførselsgrundlag, herunder at dataeksportøren har sikret, at der eksisterer et essentielt tilsvarende beskyttelsesniveau i tredjelandet, hvilket kan indebære, at dataeksportøren har iværksæt supplerende foranstaltninger. Man kan formentlig forestille sig, at Datatilsynet særligt vil have fokus på overførsler af personoplysninger til USA, da Schrems II-afgørelsen direkte ugyldiggjorde certificeringsmekanismen ”Privacy Shield”, som mange amerikanske virksomheder var certificeret under. Dette er dog kun et gæt, da Datatilsynet ikke har offentliggjort et konkret delemne for dette fokusområde.

Har din virksomhed IT-tekniske udfordringer?

Michael Albek fra SecureDevice sluttede dagen af med at bryde de IT-tekniske udfordringer ned. Han præsenterede overblik over de konkrete IT-tekniske udfordringer og krypteringsopgaver sammenholdt i forhold til de forskellige Schrems II use-cases og viste, hvad der skulle indgå i en løsning på de forskellige områder. Afslutningsvis gennemgik han SecureDevice’s oplæg til en enkel 3-trins-model over, hvordan man kommer i gang – og i mål.

Læs mere om udfordringen og løsningen på SecureDevice’s hjemmeside, hvor du også kan angive din ønskede opfølgning afhængigt af jeres modenhed – lige fra generel inspiration, præsentationen fra dagen, til konkret workshop og implementering.