Kategorier
Sikkerhed Uddannelsessektor

Amerikanske Cloud Providers og FISA-kendelsen

Hvad er komplikationerne ved brug af amerikanske Cloud Providers og hvordan hænger det sammen med FISA-kendelsen? Vores specialist i sikkerhed og mobilitet, Søren Eskild Jensen, giver sit besyv.

Nyhedsmediet Version2 bragte to artikler henholdsvis den 6. og 7. januar 2021, der omhandler Aarhus Kommunes valg af Google for Education, som Cloud Provider og dermed håndteringen af de data, der måtte befinde sig i Googles Cloud Service.

Ved første øjekast i artiklen kunne man få den opfattelse, at Aarhus’ egen risikovurdering har været mangelfuld og problemet ville have været løst, hvis kommunen havde valgt en anden Cloud Provider. Det er dog vigtigt at pointere, at alle amerikanske Cloud Providers er i samme situation, da man som amerikansk selskab er underlagt amerikansk lovgivning:

Alle amerikanske selskaber er forpligtiget til at give NSA en aktindsigt i deres data, hvis der er belæg for det, også selvom disse måtte være beliggende uden for USA, fx i Europa. Den såkaldte FISA-kendelse.

Tidligere i december sidste år bragte Version2 også en lignende artikel, denne gang var Microsoft’s Office 365-løsning omdrejningspunktet i forhold til Københavns kommune, og her er FISA-kendelsen selvfølgelig også gældende.

Vil du læse artiklerne fra Version2 eller har du lyst til at dykke ned i Datatilsynets domsafsigelsen fra fx Schrems II-sagen og Googles pressemeddelelse til Schrem II-sagen, har vi samlet links nedenfor:

Versions2’s artikel 6. januar 2021 – “Skarp kritik af Aarhus Kommune: Sender skolebørns data ulovligt til Google

Versions2’s artikel 7. januar 2021 – “Efter Version2-afsløring: Datatilsynet indleder sag mod Aarhus Kommune om ulovlige dataoverførsler

Version2’s artikel 17. december 2020 – “Microsofts danske datacentre vil sende data til USA

Foreign Intelligence Surveillance Act

EU-Domstolens dom i Schrems II-sagen

Safeguards for international data transfers with Google
Workspace and G Suite for Education