CIO Premium IT-JOB Eksperten IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

Undersøgelse: Er dine danske data sikre hos IBM, Google, Apple, CSC eller Microsoft?

De amerikanske it-firmaer har ikke den store lyst til at snakke om, hvad de udleverer af danske virksomheders data. Men Computerworld er gået dem på klingen. Se svarene fra undersøgelsen her.

23. august 2013 kl. 11.59
Henrik Rasch Henrik Rasch Journalist

Vi overholder national lovgivning

"Vi overholder national lovgivning."

Sådan lyder det gennemgående svar fra en række af de amerikanske it-firmaer på spørgsmålet, om de kan garantere danske kunder og virksomheder, at deres data ikke ender hos en amerikansk efterretningstjeneste.

Ud over budskabet om, at man overholder den nationale lovgivning, henviser flere af de amerikanske firmaer til, at de generelt ikke kommenterer på kundeforhold.

Men hvordan agerer amerikanske it-firmaer, hvis de bliver bedt om at udlevere data fra danske kunder? Har USA krævet data fra danske virksomheder udleveret?

De spørgsmål har Computerworld bedt de danske afdelinger hos IBM, Microsoft, CSC, Apple og Google om at svare på.

For hvor sikre er danske virksomheders data i hænderne på en amerikansk it-udbyder, hvis amerikanske myndigheder kræver data udleveret?

Du kan læse de konkrete spørgsmål i boksen til højre på denne side.

Spørgsmålene udspringer af sommerens afsløringer fra whistle-bloweren Edward Snowden, som har vist, at den amerikanske efterretningstjeneste NSA i flere tilfælde har tvunget it-firmaer som Amazon, Microsoft, Google, Facebook og Yahoo til at udlevere data om amerikanske brugere, som på den ene eller anden måde var interessante at følge.

CSC: Dataudlevering er "usandsynlig"
Hos CSC, der blandt andet står for drift og datalagring for en stor del af den offentlige sektor i Danmark, har man ikke ønsket at stille op til interview med Computerworld, men giver i en mail en generel kommentar om, hvordan CSC forholder sig til den amerikanske terrorlovgivning (Patriot Act og FISA - Foreign Intelligence Surveillance Act):

"Det er usandsynligt, at CSC vil blive bedt om at udlevere kundedata på baggrund af FISA eller Patriot Act. Forespørgsler om data bliver normalt foretaget fra én regering til en anden, ikke fra en regering direkte til en it-serviceudbyder som CSC," lyder svaret fra CSC i Danmark, som fortsætter:

"Den juridiske proces skal om alle omstændigheder følges, når der anmodes om udlevering af stærkt beskyttet data, håndteret af en it-serviceudbyder. Patriot Act og FISA er ikke enestående. Mange andre lande har love, der tillader myndigheder at tilegne sig virksomhedsinformationer, herunder kundedata."

IBM: Sådan har det været længe

Heller ikke IBM ønsker at stille op til et interview med Computerworld, men skriver i en mail, at myndigheder har ret til at anmode og adgang til data, og at man i øvrigt længe har anbefalet kunderne at sætte sig ordentligt ind i jura og forretningsbetingelser. IBM vil i øvrigt ikke diskutere kundeforhold i offentligheden.

"Over hele verden har de lokale myndigheder længe haft ret til at anmode om adgang til data i forbindelse med retshåndhævelse eller af nationale sikkerhedsmæssige grunde. En sådan anmodning kan gå til enhver virksomhed, som driver forretning i landet, uanset hvor virksomheden er baseret, eller hvor data er gemt. Dette er ikke enestående for USA eller for tjenesteudbydere med hovedkontor i USA," lyder det i svaret fra IBM Danmark, som fortsætter:

"IBM har længe anbefalet kunder at gennemgå de juridiske og forretningsmæssige krav i forhold til deres data. Vi arbejder løbende med vores kunder på at tilrette arkitekturen i deres løsninger, så de passer til deres ønsker og krav om "privacy" og sikkerhed. Af naturlige grunde diskuterer IBM ikke detaljerne i sådanne fortrolige kundeforhold i offentligheden."

Apple er (næsten) tavs

Hos Apple er Computerworlds spørgsmål røget helt op på skrivebordet hos selskabets europæiske PR-chef, Josh Rosenstock.

Han nøjes dog med at henvise til Apples generelle privacy policy og den generelle information om, hvordan Apples iCloud håndterer personlige oplysninger, mails etc.

Computerworld har bedt Apple om en uddybning af svaret, men Apple har ikke svaret på vores henvendelser.

Google: Lad nu være med at dreje vores ord

Hos Google Danmark slår den danske den danske talsmand Christine Sørensen fast, at Google efterkommer lovlige henvendelser om udlevering af data. Hun afviser samtidig, at der findes særskilte aftaler med USA om udlevering af kundedata.

"I 2012 har vi fået 66 henvendelser om at udlevere brugeres data og to henvendelser om at fjerne indhold. Jeg kan ikke komme ind på nærmere detaljer for henvendelserne."

"Men vi garanterer, at vi ikke stiller kundedata til rådighed, med mindre loven kræver det. Hvis USA siger, at de skal have det her udleveret med henvisning til den og den paragraf, og der er en dommer, der har godkendt det, så bliver vi nødt til at udlevere det," lyder det blandt andet fra Christine Sørensen.

Så i det øjeblik jeg har mine data på Google, så kan I ikke garantere, at de ikke bliver stillet til rådighed for amerikanske myndigheder?

Der har været meget med den der, at "Google garanterer ikke". Vi garanterer, at vi beskytter data og ikke udleverer nogen data, men vi er også omfattet af national lovgivning. Så hvis Datatilsynet eller en dansk dommer siger, at det her skal udleveres, bliver vi nødt til at gøre det. Vi har en lang track-record af sager, hvor vi har kæmpet mod myndighederne, fordi vi siger, at det ikke er hjemlet i loven. Så jeg vil være meget ked af, at du drejer det, jeg siger, til, at 'Google garanterer ikke'," siger hun og henviser i øvrigt til Googles Transparency Report.

Du kan læse det fulde interview med Googles talsmand, Christine Sørensen på næste side.

Googles fulde svar

Hvad gør Google Danmark for at sikre, at danske kunders data i udlandet bliver behandlet i overensstemmelse med dansk lovgivning?

Grundlaget for vores tjenester er, at vi skal overholde national lovgivning. Får vi en henvendelse grundet i national lovgivning, skal vi efterkomme den. Det gælder for alle virksomheder. 

Garanterer I jeres private og offentlige danske kunder, at I ikke stiller kundedata til rådighed for amerikanske myndigheder?

Vi garanterer, at vi ikke stiller kundedata til rådighed med mindre, loven kræver det. Hvis USA siger, at de skal have det her udleveret med henvisning til den og den paragraf, og der er en dommer, der har godkendt det: Så bliver vi nødt til at udlevere det. 

Så i det øjeblik jeg har mine data på Google, så kan I ikke garantere, at de ikke bliver stillet til rådighed for amerikanske myndigheder? 

Der har været meget med den der, at "Google garanterer ikke". Vi garanterer, at vi beskytter data og ikke udleverer nogen data, men vi er også omfattet af national lovgivning. Så hvis Datatilsynet eller en dansk dommer siger, at det her skal udleveres, bliver vi nødt til at gøre det. Vi har en lang track-record af sager, hvor vi har kæmpet mod myndighederne, fordi vi siger, at det ikke er hjemlet i loven. Så jeg vil være meget ked af, at du drejer det jeg siger til, at "Google garanterer ikke". 

Findes der en aftale med amerikanske myndigheder om, at Google i Danmark skal udlevere/give adgang til data, hvis amerikanske myndigheder ønsker det også uden for USA?

Der findes ikke nogen aftaler ud over, hvad der ligger i national lovgivning.

Har amerikanske eller danske myndigheder bedt om data fra Google Danmarks kunder eller jeres datacentre i DK som konsekvens af amerikanske retskendelser om adgang til eller udlevering af data?

Amerikanske myndigheder kan ikke sige til Google, at de vil have data om en dansk borger, med mindre der er et korrekt grundlag i loven. Alle de henvendelser, vi får, kan man i øvrigt se i vores Transparency Report. 

Har Google Danmark udleveret data fra kunder eller jeres datacentre i DK til amerikanske eller danske myndigheder som konsekvens af amerikanske retskendelser om adgang til eller udlevering af data?

I 2012 har vi fået 66 henvendelser om at udlevere brugeres data, og to henvendelser om at fjerne indhold. Jeg kan ikke komme ind på nærmere detaljer for henvendelserne.

Microsoft: Tavshed om kundegarantier

Microsoft Danmark: Ud over Google Danmark er Microsoft den eneste af de amerikanske it-giganter, som stiller op til interview med Computerworld. Ligesom konkurrenterne undlader Microsoft dog at fortælle, præcis hvilke garantier mod dataudlevering Microsoft giver virksomheder, der benytter Microsofts cloud- og hostingtjenester.

Advokat Anne Ermose fra Microsoft Danmark siger til gengæld, at Microsoft aldrig har udleveret kundedata fra en privat eller offentlig kunde på grund af nationale sikkerhedsinteresser. Det fremgår videre, at alle henvendelser fra myndigheder bliver gennemgået af Microsofts eget særlige "compliance team", som sikrer sig, at myndighederne holder sig inden for lovens grænser.

Anne Ermose henviser i øvrigt til Microsofts egen "Law Enforcements Request Report 2012", som blev offentliggjort tidligere i år. Her fremgår det blandt andet, at stort set alle anmodninger om udlevering af data retter sig mod Microsofts cloud-baserede forbrugerservices - det vil sige privatpersoners data.

Af rapporten fremgår det i øvrigt, at Microsoft i løbet af 2012 på globalt plan fik 11 såkaldte efterforskningsanmodningner, som vedrørte erhvervs- eller offentlige kunder. Men kun i fire tilfælde kom Microsoft myndighederne i møde.

Du kan læse det fulde svar fra Anne Ermose på næste side.

Microsofts fulde svar

Hvad gør Microsoft Danmark for at sikre, at danske kunders data i udlandet bliver behandlet i overensstemmelse med dansk lovgivning?

"Microsoft har aktivt bedt den amerikanske regering om at tillade, at Microsoft offentliggør mere fuldstændig information om, hvordan vi håndterer anmodninger om kundedata af hensyn til den nationale sikkerhed - og Microsoft Danmark står altid til rådighed for danske kunder i tilfælde af spørgsmål eller kommentarer.

Garanterer I jeres private og offentlige danske kunder, at I ikke stiller kundedata til rådighed for amerikanske myndigheder?

"I overensstemmelse med vores aftaler bestræber vi os på at omdirigere myndigheder til at indhente kundedata hos kunden direkte. Microsoft giver ikke de amerikanske myndigheder eller andre myndigheder direkte eller uhindret adgang til kundedata. Hvis en myndighed ønsker adgang til kundedata, skal myndigheden følge den proces, der er fastsat derfor.

Krav om udlevering af kundedata fra en myndighed bliver grundigt gennemgået af Microsofts compliance team, som sikrer, at kravet er gyldigt. Microsoft udleverer ikke kundedata som følge af generaliserede krav, og en eventuel udlevering vil kun ske, hvis Microsoft er forpligtet til det under lovgivningen og som følge af et specifikt krav. Microsoft har aldrig udleveret kundedata fra en privat erhvervskunde eller offentlig kunde under hensyn til nationale sikkerhedsinteresser.

Findes der en aftale med amerikanske myndigheder om, at Microsoft i Danmark skal udlevere/give adgang til data, hvis amerikanske myndigheder ønsker det også uden for USA?

"Nej. Indtil mediernes dækning af historien havde Microsoft aldrig hørt om "Prism", og Microsoft har ikke tilmeldt sig det eller et andet lignende program. For at sikre den størst mulige gennemsigtighed har Microsoft i foråret 2013 udgivet Law Enforcement Request Report 2012, som indeholder detaljerede oplysninger om de efterforskningsrelaterede krav om kundedata, Microsoft har modtaget globalt. I rapporten giver Microsoft i videst mulige omfang indsigt i praksis omkring myndighedsanmodninger.

Lovgivningen sætter også grænser for, hvor gennemsigtige Microsoft kan være. Men, som det også fremgår af et blogindlæg af Brad Smith, General Counsel og Executive Vice President i Microsoft, har Microsoft opfordret den amerikanske regering til at tillade, at Microsoft også inkluderer yderligere detaljer som volumen og omfang."

Har amerikanske eller danske myndigheder bedt om data fra Microsoft Danmarks kunder eller jeres datacentre i DK som konsekvens af amerikanske retskendelser om adgang til eller udlevering af data?

"Såvel danske som amerikanske myndigheder beder om kundedata, som det fremgår af Microsofts Law Enforcement Request Report 2012. Som det også fremgår af rapporten, vedrører 99 procent af anmodningerne - fraregnet "national security orders", som hæmmer gennemsigtigheden - vores forbrugerservices. Globalt vedrørte 11 efterforskningsanmodninger erhvervs- og offentlige kunder, og af disse imødekom Microsoft 4."

Har Microsoft Danmark udleveret data fra kunder eller jeres datacentre i DK til amerikanske eller danske myndigheder som konsekvens af amerikanske retskendelser om adgang til eller udlevering af data?

"Microsoft Danmark behandler ikke selv kundedata og driver ikke selv datacentre. Omfanget af udleveringer af kundedata på globalt plan fremgår af Microsofts Law Enforcement Request Report 2012."

Forventer Microsoft Danmark, at afsløringerne af NSA's overvågning af brugere vil påvirke jeres omsætning i Danmark?

"Vi har ingen aktuelle forventninger om, at Microsofts omsætning vil påvirkes af historierne om overvågning. Microsoft Danmark sætter stor pris på vores løbende dialog med danske kunder, og den tillid, de viser Microsoft. Vi mener, at kunder altid skal vælge den eller de leverandører og de produkter eller tjenesteydelser, som de har tillid til."

Konklusion: Sådan står du og dine data

Whistlebloweren Edward Snowdens afsløringer af de amerikanske efterretningstjenesters overvågning af kommunikation på nettet har skabt stor debat i USA, hvor den enkelte borgers ret til at færdes frit og have et privatliv er en grundlæggende værdi.

Men hvor sikker kan du som dansker være på, at amerikanske myndigheder ikke får adgang til dine mails og dine data?

Ikke så overraskende blæser svaret i vinden. Det handler i høj grad om jura, og derfor derfor er det bedste råd faktisk det, som kommer fra eksempelvis IBM, som anbefaler kunderne at læse det, der står med småt i kontrakter og almindelige forretningsbetingelser.

Hidtil har tvivlen om hvorvidt det er klogt at gemme sine data i skyen handlet om priser, oppetider, skalerbarhed og andre rent tekniske udfordringer, som cloud skaber.

"Problemet er, at du som bruger er i en situation, hvor du skal træffe et valg på et ufuldstændigt grundlag"

Men som Snowden-skandalen viser, er der på det helt grundlæggende plan intet nyt under solen. Kogt helt ned er det (stadig) et spørgsmål om, hvor stor tillid du har til din udbyder. Problemet er, at du som bruger er i en situation, hvor du skal træffe et valg på et ufuldstændigt grundlag

Tillid er den hårde valuta i it-branchen

Tillid er derfor igen ved at blive den hårdeste valuta i it-branchen. Den pointe understreges også af det store lobby-arbejde, som en række af de amerikanske it-mastodonter gør for at få lov til at fortælle mere om, hvad de udleverer og til hvem. De synes ikke, det er sjovt at ende på alverdens avisforsider uden at have mulighed for at fortælle deres kunder, præcis hvad de egentlig har gang i.

For konklusionen er, at du som slutbruger faktisk står temmelig svagt, når det gælder beskyttelse af dine data og dit privatliv.

Det virkeligt nye er de store og ofte skræmmende muligheder for brug og misbrug af data, som teknologien skaber.

For eksempel om efterretningsvirksomhed kan glide over i ren industrispionage mod europæiske virksomheder, der gemmer data hos et amerikansk firma.

Læs også: Sådan kan USA tvinge danske firmaer til at udlevere dine data




Navnenyt fra it-danmarkVis alle »
Betina Beyer
Betina Beyer
Kristian Klemmed Thelin
Kristian Klemmed Thelin
Katerina Wolters
Katerina Wolters
Lars Wiberg
Lars Wiberg

Rasmus Laugesen
Rasmus Laugesen
Ole Due Schwencke
Ole Due Schwencke
Anders Nørlund Therkelsen
Anders Nørlund Therkelsen
Steffen Bartholin Haandbæk
Steffen Bartholin Haandbæk


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Strategisk it-sikkerhedsdag – Identificer, beskyt og forsvar

Trusselsbilledet er rødglødende og it-sikkerhedslandskabet har aldrig været mere anspændt end nu. Flere organisationer end nogensinde før bliver som følge udsat for cyber-angreb, der er udført af professionelle og målrettede hackere Vi tager temperaturen på trusselslandskabet lige nu og giver dig overblikket over de nyeste trusler, de mest aktuelle tendenser og de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

23. august 2022 | Læs mere

Strategisk it-sikkerhedsdag – Identificer, beskyt og forsvar

Trusselsbilledet er rødglødende og it-sikkerhedslandskabet har aldrig været mere anspændt end nu. Flere organisationer end nogensinde før bliver som følge udsat for cyber-angreb, der er udført af professionelle og målrettede hackere Vi tager temperaturen på trusselslandskabet lige nu og giver dig overblikket over de nyeste trusler, de mest aktuelle tendenser og de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

25. august 2022 | Læs mere

CIO Trends 2022: Sådan ser opgavelisten ud hos Danmarks bedste CIOs

En hurtig og strategisk fokuseret implementering af nye teknologier er i disse år med til at sikre konkurrencekraften hos de bedste digitale vindere. Det sætter vi fokus på med konferencen CIO Trends 2022, hvor du blandt andet kan blive inspireret af en række danske topfolk inden for digitalisering og it-ledelse.

30. august 2022 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Mads Høj Jørgensen
Mads Høj Jørgensen
Poul Kjeldgaard
Poul Kjeldgaard
Christian Lindtorp Andersen
Christian Lindtorp Andersen
Torben Clemmensen
Torben Clemmensen
Claus Jepsen
Claus Jepsen
Charlotte Møller-Andersen
Charlotte Møller-Andersen
Eric Herzog
Eric Herzog
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Læren fra USA (haha)
Læs indlæg
Artikel teaser billede

Mads Høj Jørgensen

Suboptimering er bagsiden af AI-medaljen

Artikel teaser billede

Poul Kjeldgaard

Ny teknologi og voksende datamængder kalder på bedre databeskyttelse

Artikel teaser billede

Christian Lindtorp Andersen

Cloud-dataplatforme kan blive det hemmelige våben i cybersikkerhedskapløbet

Artikel teaser billede

Torben Clemmensen

Om under 22 måneder er der nye EU-regler for databehandling: Og du skal være klar fra dag et – ellers vanker der bøder

Mest læste klummer og blogs
Om under 22 måneder er der nye EU-regler for databehandling: Og du skal være klar fra dag et – ellers vanker der bøder
Klumme: EU er ved at nå til enighed om den nye NIS2-lovgivning, der omhandler datatrafik, og hvor den eksisterende NIS 1.0 kun gjaldt offentlige institutioner, så gælder NIS2 også for virksomheder, og får du ikke hurtigt styr på det, kan det koste dig 4 procent af virksomhedens årsomsætning. Bum!
Af: Torben Clemmensen
Cloud-dataplatforme kan blive det hemmelige våben i cybersikkerhedskapløbet
Klumme: det er blevet essentielt at kunne forene sikkerhedsdata med ubegrænset tilgængelighed, hvis vi skal vinde kampen mod de cyberkriminelle.
Af: Christian Lindtorp Andersen
Suboptimering er bagsiden af AI-medaljen
Klumme: De mange fordele ved AI er velbeskrevne, men det kniber med realiserede projekter, hvor kunstig intelligens er smeltet sammen med virksomhedsdriften. Isolerede AI-projekter giver ikke nødvendigvis gevinst for den overordnede forretning. Derfor giver det god mening at integrere AI i ERP-systemet.
Af: Mads Høj Jørgensen
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Læren fra USA (haha)
opinion Claus Jepsen
CIO'er skal blive bedre til hurtig opsætning med færdiglavede økosystemer
Læs indlæg

Premium
Teaser billede
Hackergruppen Conti er drevet som en virksomhed, men produktet er ransomware – sådan er en af verdens største hackergrupper bygget op
Læs mere »
KMD skal tvinges tilbage på vækstsporet efter år med effektiviseringer: Her er målet
Smart it-projekt har ført til enorme gevinster hos Københavns Kommune: Nu kører omkring en million sager igennem ServiceNow om året
Lundbeck bruger hvert år et tocifret millionbeløb på it-services hos NNIT: Sådan vurderer Lundbeck-CIO'en NNIT's store salgsmanøvre
Se alle »
Computerworld
Teaser billede
Borger.dk og Digital Post er ramt af nedbrud
Læs mere »
Elon Musk beklager sig: Tysk Tesla-fabrik er blevet et ’gigantisk penge-bål’
Ugen i tech: Kinesisk bilmærke indstiller salget blot to måneder efter dansk debut / Intels første gamer-grafikkort er nu at finde i e-handlen / Tesla lader andre elbiler komme til sit superlader-netværk
NemID fortsat ramt af nedbrud på tredje døgn: Ekstremt alvorligt
Se alle »
CIO
Teaser billede
10 gratis artikler: Få gode råd fra Danmarks bedste it-ledere
Læs mere »
Se alle »
Job & Karriere
Teaser billede
Fra Danmarks bedste it-brand til et af de værste: Netcompanys image styrter mod afgrunden sammen med Facebook, DXC og Huawei
Læs mere »
Her er Netcompanys nye hovedkvarter: Flytter til ikonisk adresse i hjertet af København - kommer til at betale million-leje
Google åbner splinternyt hovedkvarter - har gentænkt kontorarbejdet fra bunden: Tag med inden for i det innovative byggeri - tegnet af Bjarke Ingels
Elon Musk med barsk besked til Tesla-ansatte: Mød op på kontoret eller bliv fyret
Se alle »
White paper
Teaser billede
Supply chain: Sikkerhed er det svage led – men sådan håndterer du truslen
Læs mere »
Netværk: Skru op for sikkerheden og ned for tidsforbrug og kompleksitet
Overblik: Få en samlet tjekliste til styring af sikkerhedsindsatsen
Undersøgelse: Dette er virksomhedernes primære udfordring – og sådan løses den
Se alle »

Events
Flere events »
White papers
Flere white papers »
Uddannelse
Se alle kurser »