Hvad du har brug for at vide om skylove og -regler

Det er ikke så nemt at holde dine data sikre og private i disse dage. Der er ofte tvetydighed, under hvilken jurisdiktion dine skybaserede data falder til, og oven på det er forskellige love og regler forskellige fra land til land. At få dit hoved rundt omkring alt det, der kan være et mareridt, og derfor vil vi gøre dit liv lettere og vende opmærksomheden på det, du har brug for at vide om skylove og -forskrifter.


Med nylige overtrædelser af privatlivets fred i USA – ligesom Facebook-skandalen – er disse spørgsmål faktisk vigtigere end nogensinde. Staterne er blevet et stadig mere skræmmende sted, når det kommer til databeskyttelse og sikkerhed.

Snart vil der for eksempel ikke være nogen netneutralitet i USA længere. NSA er altid til stede med sit PRISM-projekt, og det er far, patriotloven er også der. Der er også en ny lov om blokken kaldet CLOUD, der tillader amerikansk efterretning at hente amerikanske borgeres data fra udenlandske servere.

Europa er mindre fjendtligt et miljø, og privatlivets fred og sikkerhed for dine data skal overleve længere der. Det er dog ikke uden dets fejl: EU-lande vil lejlighedsvis ignorere din ret til privatliv, den franske spion mod deres borgere og Det Forenede Kongerige vedtog loven om efterforskningsbeføjelser, som er endnu mere skræmmende end patriotloven.

Landskabet er dog ikke alle dyster takket være GDPR, der træder i kraft den 25. maj 2018, og dets løfte om bedre privatliv og sikkerhed.

Rusland er et helt andet dyr med sin internetcensurlov, der blev vedtaget i 2012. Russisk lov begrænser også, hvor data om dens borgere kan placeres. Imidlertid godkendte den russiske føderale antimonopoltjeneste i 2016 en regulering, der blokerer internetudbydere fra at trottle eller blokere websteder, medmindre regeringen gør det, og således bevarer netneutralitet.

I Australien er loven om opbevaring af data gældende, og den ønsker borgerens metadata. Ironisk nok skete det kun uger, før Australien markerede uges opmærksomhed om privatlivets fred. Loven er en af ​​de mest påtrængende i vestlige samfund.

Vi ser på detaljerne i de love og regler, der opretholdes over hele verden.

Cloud-love i USA


© Mike Mozart

USA har ikke en altomfattende lov til dataregulering overalt i landet. I stedet har den implementeret sektorspecifik datalovgivning og -forordninger, der arbejder sammen med lovgivningen på statsniveau for at holde borgernes data sikre, som HIPAA.

Den nyeste tilføjelse til landskabet i lovgivningen om databeskyttelse i data i USA er at klarlægge lovlig oversøisk brug af data (CLOUD) Act. Det blev indført i februar 2018, og præsident Donald Trump underskrev lovgivningen den 23. marts. Det hedder, at:

”En udbyder af elektronisk kommunikationstjeneste eller fjern computertjeneste skal overholde forpligtelserne i dette kapitel til at bevare, sikkerhedskopiere eller videregive indholdet af en ledning eller elektronisk kommunikation og enhver post eller anden information, der vedrører en kunde eller abonnent i en sådan leverandørs besiddelse , forældremyndighed eller kontrol, uanset om sådan kommunikation, registrering eller anden information er placeret i eller uden for De Forenede Stater. ”

Kort sagt, hvis du er bosiddende i USA, kan dine data fås, hvis du placerer dem uden for USA i et land “som USA har en udøvende aftale med.” Kongressen retfærdiggør det i en anden sektion og hævder følgende:

“Rettidig adgang til elektroniske data, der er indeholdt af udbydere af kommunikationstjenester, er en væsentlig komponent i regeringens bestræbelser på at beskytte den offentlige sikkerhed og bekæmpe alvorlig kriminalitet, herunder terrorisme.”

Handlingen giver også udenlandske regeringer (dem, der har en udøvende aftale med U.S.A.) ret til at anmode om oplysninger om deres egne borgere fra amerikanske teknologiselskaber. De pågældende tech-virksomheder kan annullere denne anmodning inden for 14 dage, hvis de mener, at:

“Kunden eller abonnenten er ikke en person i USA og bor ikke i USA, og at den krævede videregivelse ville skabe en væsentlig risiko for, at udbyderen ville overtræde lovgivningen fra en kvalificerende udenlandsk regering.”

Demokratisk tilbageslag


© Rolling Stone Magazine

Senator Ron Wyden (D-OR) havde noget at sige om det, før lovforslaget blev vedtaget: ”Dette lovforslag indeholder kun tandløse bestemmelser om menneskerettigheder, som Trumps kammerater kan opfylde ved blot at markere en kasse. Det er lovgivningsmæssig malpractice, at Kongressen uden et minut af senatsdebatten skynder sig gennem CLOUD-loven om denne udgiftsforslag, der skal passere.

CLOUD ville ikke være her i dag uden hjælp fra en bestemt regulering, der bringer røde og blå striber til din fantasi, når du siger dets navn – Patriot Act. De fleste af de kontroversielle ændringer er skrevet i aktens titel II, kaldet “Forbedrede overvågningsprocedurer.” Forskellige bestemmelser giver mulighed for at give data om elektronisk kommunikation til de retshåndhævende myndigheder.

Brugere eller ejere af en computer, der er “beskyttet”, kan give myndighederne tilladelse til at aflytte kommunikation, der er ført på maskinen. Hvad der gør en “beskyttet” computer er anført i 18 US Code § 1030 – Svig og relateret aktivitet i forbindelse med computere, og den omfatter bredt ethvert udstyr, der bruges af eller til en finansiel institution i USA eller en uden for USA, der påvirker interstate eller udenlandsk handel eller kommunikation.

Afsnit II udvidede også stemmeafgivelser, der blev udstedt til internetudbydere med “navn, adresse, lokal og langdistanceopkrævningsregistrering for telefonopkrævning, telefonnummer eller andet abonnentnummer eller identitet og en abonnents servicelængde”, såvel som sessionstider og varighed, anvendte typer tjenester, IP-adresser, betalingsmetode og bankkonto- og kreditkortnumre.

Tittelen giver også internetudbydere mulighed for at levere kundeoptegnelser til alfabetbureauer, hvis de har mistanke om, at der er en fare for “liv og lemmer.” U.S.-borgere er nødt til at beskytte deres privatliv mod Big Brother nu mere end nogensinde. Vi giver nogle tip til, hvordan man gør netop det i slutningen af ​​artiklen.

Bastion Europa


© Yanni Koutsomitis

Europa som helhed har ikke love, der er så kontroversielle som dem i USA, men nogle vedtog for nylig og drejer hoveder.

I Holland godkendte underhuset et lovforslag, der tillader politiet at hacke mistænkte i en straffesag. Det kaldes Cybercrime III og gav i sin oprindelige form politiet beføjelse til at gøre brug af softwaresårbarheder, som udviklerne ikke var klar over (sårbarheder i nul dage). Denne opdelte lovgivere og i sidste ende blev lovforslaget ændret for at kræve, at politiet straks rapporterer sårbarheder til udviklerne.

Den franske regering efterligner PRISM-projektet med det ekspansive elektroniske overvågningsnetværk, rapporterer Le Monde. Det har fundet, at fransk efterretning indsamlede enorme mængder data og lagrede dem på sine servere. Dataene inkluderede telefonregistre – identifikation af deltagere, sted, dato, varighed og størrelsen på meddelelsen – samt e-mails (metadata) og al internetaktivitet, der går gennem Google, Microsoft, Apple og Yahoo.

Fransk lov regulerer dataopfangning strengt, men er ikke udstyret til at håndtere dataopbevaring fra efterretningsbureauer. Et andet argument for denne lov er, at “hver anmodning om rekvirering af data eller opfangning er målrettet og ikke kan nås på en massiv måde, både kvantitativt og midlertidigt, og sådan praksis vil ikke være lovligt funderet.” Sikrer den nationale kommission for databehandling og friheder (CNIL). Med andre ord henter den franske efterretning ikke data om alle beboere hele tiden.

Privatliv i Storbritannien

I England er loven, man skal passe på, loven om efterforskningskraft. Det giver regeringen mulighed for at få adgang til og gemme data fra alle i landet. Disse data inkluderer browserhistorik, telefonposter og meddelelser. Regeringen udstedte en begrænsning, der berettiger kun indtrængen i tilfælde af “alvorlig kriminalitet.” De definerede dog ”alvorlig kriminalitet” som enhver lovovertrædelse, der kan straffes med seks måneders fængsel, og enhver kriminalitet, der involverer afsendelse af en meddelelse.

For at undgå sådanne skræmmende regler blev GDPR udarbejdet, og det lover at være den store forening og udjævner af databeskyttelses- og sikkerhedslove i EU. Det gælder for alle virksomheder, der behandler dataene fra mennesker, der bor i fagforeningen, uanset virksomhedens placering.

Med den nye forordning er anmeldelse af en overtrædelse obligatorisk i ethvert medlemsland, hvor overtrædelsen sandsynligvis vil “resultere i en risiko for enkeltpersoners rettigheder og friheder.” En sådan anmeldelse skal sendes inden for 72 timer efter at man er klar over overtrædelsen. De registrerede (personer, der er genstand for personoplysninger) har ret til at få bekræftelse fra den registeransvarlige (organisationer eller enkeltpersoner) om, hvorvidt deres personlige data behandles, hvor og til hvilket formål.

Retten til at blive glemt sørger for, at de registrerede kan få den registeransvarlige til at slette hans eller hendes data, ophøre med udbredelsen af ​​data og potentielt få tredjeparter til at stoppe behandlingen af ​​dataene.

Et andet, ofte overset koncept, der er inkluderet i GDPR, er privatliv ved design. Det kræver, at databeskyttelse medtages fra starten af ​​design af systemer snarere end som en tilføjelse. For mere information om, hvordan denne nye lov vil ændre EU’s datalandskab, læse vores omfattende GDPR-artikel.

Rusland (tin tin)

Selvom det ikke længere er bag jerntæppet, begrænser Rusland stadig, hvad der er tilgængeligt online for dets folk. Censur håndhæves af den russiske regning for internetbegrænsning. Den russiske regering hævder, at den er der for at beskytte borgere mod websteder, der går ind for narkotikamisbrug, børnepornografi eller noget, der betragtes som en dårlig indflydelse. Kriterierne for det er yderst subjektivt, og nogle mener, at det er der for at fremme censur.

I september 2015 trådte føderal lov nr. 242-FZ i kraft i Rusland. I det væsentlige kræver det, at al udenlandsk virksomhed skal gemme data om russiske borgere på servere, der er beliggende i landet.

Den russiske regulator – Roskomnadzor – vil sørge for, at alle overholder denne lov. Hvis nogen indgiver en klage over en virksomhed, der har overtrådt lov nr. 242-FZ, arkiverer Roskomnadzor den i deres register. Efter tre dage, hvis overholdelse ikke leveres, blokeres adgangen til webstedet (.pdf-advarsel). Desuden kan regulatoren foretage uplanlagte overholdelseskontrol uden begrænsning.

Metadata tumle ned under


© Naoki Sato

I Australien er loven om datalagring blevet håndhævet siden april 2017. I lighed med situationen i Frankrig indsamler telekommunikationsselskaber metadata, men i Australien er det ikke målrettet, og de samles ubetinget. De vil gemme dataene i mindst to år og give adgang til efterretnings- og retshåndhævelsesorganer.

Dette undergraver naturligvis de demokratiske principper, hvorpå Australien blev grundlagt, og udhuler enkeltpersoners rettigheder til privatliv, anonymitet og fra at få deres personlige data indsamlet.

Afsluttende tanker

Mens der eksisterer trusler indefra og udefra, skaber regeringer love, der gør det muligt for ondsindede personer eller agenturer at drage fordel af de beføjelser, de giver. Det gøres i sikkerhedens navn, mens du fjerner dine rettigheder til privatliv.

Enkeltpersoner er langt fra magtesløse, og der er trin, du kan tage for at sikre dig, at dine data er sikre og private: der er masser af værktøjer, der hjælper med at beskytte dit privatliv, men den bedste løsning er at bruge en VPN (læs vores hvad er en VPN artikel, hvis du ikke kender det). Vi har også en liste over, hvad vi synes er de bedste VPN-udbydere. Hvis du gemmer data i skyen, skal du også bruge en tjeneste, der tilbyder nul-viden kryptering.

Hvad synes du om love og regler i denne modige nye verden? Er der en interessant lov, som vi har savnet? Fortæl os det i kommentarerne herunder. Tak fordi du læste.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me