Artikel top billede

Undersøgelse: Er dine danske data sikre hos IBM, Google, Apple, CSC eller Microsoft?

De amerikanske it-firmaer har ikke den store lyst til at snakke om, hvad de udleverer af danske virksomheders data. Men Computerworld er gået dem på klingen. Se svarene fra undersøgelsen her.

Vi overholder national lovgivning

"Vi overholder national lovgivning."

Sådan lyder det gennemgående svar fra en række af de amerikanske it-firmaer på spørgsmålet, om de kan garantere danske kunder og virksomheder, at deres data ikke ender hos en amerikansk efterretningstjeneste.

Ud over budskabet om, at man overholder den nationale lovgivning, henviser flere af de amerikanske firmaer til, at de generelt ikke kommenterer på kundeforhold.

Men hvordan agerer amerikanske it-firmaer, hvis de bliver bedt om at udlevere data fra danske kunder? Har USA krævet data fra danske virksomheder udleveret?

De spørgsmål har Computerworld bedt de danske afdelinger hos IBM, Microsoft, CSC, Apple og Google om at svare på.

For hvor sikre er danske virksomheders data i hænderne på en amerikansk it-udbyder, hvis amerikanske myndigheder kræver data udleveret?

Du kan læse de konkrete spørgsmål i boksen til højre på denne side.

Spørgsmålene udspringer af sommerens afsløringer fra whistle-bloweren Edward Snowden, som har vist, at den amerikanske efterretningstjeneste NSA i flere tilfælde har tvunget it-firmaer som Amazon, Microsoft, Google, Facebook og Yahoo til at udlevere data om amerikanske brugere, som på den ene eller anden måde var interessante at følge.

CSC: Dataudlevering er "usandsynlig"
Hos CSC, der blandt andet står for drift og datalagring for en stor del af den offentlige sektor i Danmark, har man ikke ønsket at stille op til interview med Computerworld, men giver i en mail en generel kommentar om, hvordan CSC forholder sig til den amerikanske terrorlovgivning (Patriot Act og FISA - Foreign Intelligence Surveillance Act):

"Det er usandsynligt, at CSC vil blive bedt om at udlevere kundedata på baggrund af FISA eller Patriot Act. Forespørgsler om data bliver normalt foretaget fra én regering til en anden, ikke fra en regering direkte til en it-serviceudbyder som CSC," lyder svaret fra CSC i Danmark, som fortsætter:

"Den juridiske proces skal om alle omstændigheder følges, når der anmodes om udlevering af stærkt beskyttet data, håndteret af en it-serviceudbyder. Patriot Act og FISA er ikke enestående. Mange andre lande har love, der tillader myndigheder at tilegne sig virksomhedsinformationer, herunder kundedata."

IBM: Sådan har det været længe

Heller ikke IBM ønsker at stille op til et interview med Computerworld, men skriver i en mail, at myndigheder har ret til at anmode og adgang til data, og at man i øvrigt længe har anbefalet kunderne at sætte sig ordentligt ind i jura og forretningsbetingelser. IBM vil i øvrigt ikke diskutere kundeforhold i offentligheden.

"Over hele verden har de lokale myndigheder længe haft ret til at anmode om adgang til data i forbindelse med retshåndhævelse eller af nationale sikkerhedsmæssige grunde. En sådan anmodning kan gå til enhver virksomhed, som driver forretning i landet, uanset hvor virksomheden er baseret, eller hvor data er gemt. Dette er ikke enestående for USA eller for tjenesteudbydere med hovedkontor i USA," lyder det i svaret fra IBM Danmark, som fortsætter:

"IBM har længe anbefalet kunder at gennemgå de juridiske og forretningsmæssige krav i forhold til deres data. Vi arbejder løbende med vores kunder på at tilrette arkitekturen i deres løsninger, så de passer til deres ønsker og krav om "privacy" og sikkerhed. Af naturlige grunde diskuterer IBM ikke detaljerne i sådanne fortrolige kundeforhold i offentligheden."

Apple er (næsten) tavs

Hos Apple er Computerworlds spørgsmål røget helt op på skrivebordet hos selskabets europæiske PR-chef, Josh Rosenstock.

Han nøjes dog med at henvise til Apples generelle privacy policy og den generelle information om, hvordan Apples iCloud håndterer personlige oplysninger, mails etc.

Computerworld har bedt Apple om en uddybning af svaret, men Apple har ikke svaret på vores henvendelser.

Google: Lad nu være med at dreje vores ord

Hos Google Danmark slår den danske den danske talsmand Christine Sørensen fast, at Google efterkommer lovlige henvendelser om udlevering af data. Hun afviser samtidig, at der findes særskilte aftaler med USA om udlevering af kundedata.

"I 2012 har vi fået 66 henvendelser om at udlevere brugeres data og to henvendelser om at fjerne indhold. Jeg kan ikke komme ind på nærmere detaljer for henvendelserne."

"Men vi garanterer, at vi ikke stiller kundedata til rådighed, med mindre loven kræver det. Hvis USA siger, at de skal have det her udleveret med henvisning til den og den paragraf, og der er en dommer, der har godkendt det, så bliver vi nødt til at udlevere det," lyder det blandt andet fra Christine Sørensen.

Så i det øjeblik jeg har mine data på Google, så kan I ikke garantere, at de ikke bliver stillet til rådighed for amerikanske myndigheder?

Der har været meget med den der, at "Google garanterer ikke". Vi garanterer, at vi beskytter data og ikke udleverer nogen data, men vi er også omfattet af national lovgivning. Så hvis Datatilsynet eller en dansk dommer siger, at det her skal udleveres, bliver vi nødt til at gøre det. Vi har en lang track-record af sager, hvor vi har kæmpet mod myndighederne, fordi vi siger, at det ikke er hjemlet i loven. Så jeg vil være meget ked af, at du drejer det, jeg siger, til, at 'Google garanterer ikke'," siger hun og henviser i øvrigt til Googles Transparency Report.

Du kan læse det fulde interview med Googles talsmand, Christine Sørensen på næste side.

Googles fulde svar

Hvad gør Google Danmark for at sikre, at danske kunders data i udlandet bliver behandlet i overensstemmelse med dansk lovgivning?

Grundlaget for vores tjenester er, at vi skal overholde national lovgivning. Får vi en henvendelse grundet i national lovgivning, skal vi efterkomme den. Det gælder for alle virksomheder. 

Garanterer I jeres private og offentlige danske kunder, at I ikke stiller kundedata til rådighed for amerikanske myndigheder?

Vi garanterer, at vi ikke stiller kundedata til rådighed med mindre, loven kræver det. Hvis USA siger, at de skal have det her udleveret med henvisning til den og den paragraf, og der er en dommer, der har godkendt det: Så bliver vi nødt til at udlevere det. 

Så i det øjeblik jeg har mine data på Google, så kan I ikke garantere, at de ikke bliver stillet til rådighed for amerikanske myndigheder? 

Der har været meget med den der, at "Google garanterer ikke". Vi garanterer, at vi beskytter data og ikke udleverer nogen data, men vi er også omfattet af national lovgivning. Så hvis Datatilsynet eller en dansk dommer siger, at det her skal udleveres, bliver vi nødt til at gøre det. Vi har en lang track-record af sager, hvor vi har kæmpet mod myndighederne, fordi vi siger, at det ikke er hjemlet i loven. Så jeg vil være meget ked af, at du drejer det jeg siger til, at "Google garanterer ikke". 

Findes der en aftale med amerikanske myndigheder om, at Google i Danmark skal udlevere/give adgang til data, hvis amerikanske myndigheder ønsker det også uden for USA?

Der findes ikke nogen aftaler ud over, hvad der ligger i national lovgivning.

Har amerikanske eller danske myndigheder bedt om data fra Google Danmarks kunder eller jeres datacentre i DK som konsekvens af amerikanske retskendelser om adgang til eller udlevering af data?

Amerikanske myndigheder kan ikke sige til Google, at de vil have data om en dansk borger, med mindre der er et korrekt grundlag i loven. Alle de henvendelser, vi får, kan man i øvrigt se i vores Transparency Report. 

Har Google Danmark udleveret data fra kunder eller jeres datacentre i DK til amerikanske eller danske myndigheder som konsekvens af amerikanske retskendelser om adgang til eller udlevering af data?

I 2012 har vi fået 66 henvendelser om at udlevere brugeres data, og to henvendelser om at fjerne indhold. Jeg kan ikke komme ind på nærmere detaljer for henvendelserne.

Microsoft: Tavshed om kundegarantier

Microsoft Danmark: Ud over Google Danmark er Microsoft den eneste af de amerikanske it-giganter, som stiller op til interview med Computerworld. Ligesom konkurrenterne undlader Microsoft dog at fortælle, præcis hvilke garantier mod dataudlevering Microsoft giver virksomheder, der benytter Microsofts cloud- og hostingtjenester.

Advokat Anne Ermose fra Microsoft Danmark siger til gengæld, at Microsoft aldrig har udleveret kundedata fra en privat eller offentlig kunde på grund af nationale sikkerhedsinteresser. Det fremgår videre, at alle henvendelser fra myndigheder bliver gennemgået af Microsofts eget særlige "compliance team", som sikrer sig, at myndighederne holder sig inden for lovens grænser.

Anne Ermose henviser i øvrigt til Microsofts egen "Law Enforcements Request Report 2012", som blev offentliggjort tidligere i år. Her fremgår det blandt andet, at stort set alle anmodninger om udlevering af data retter sig mod Microsofts cloud-baserede forbrugerservices - det vil sige privatpersoners data.

Af rapporten fremgår det i øvrigt, at Microsoft i løbet af 2012 på globalt plan fik 11 såkaldte efterforskningsanmodningner, som vedrørte erhvervs- eller offentlige kunder. Men kun i fire tilfælde kom Microsoft myndighederne i møde.

Du kan læse det fulde svar fra Anne Ermose på næste side.

Microsofts fulde svar

Hvad gør Microsoft Danmark for at sikre, at danske kunders data i udlandet bliver behandlet i overensstemmelse med dansk lovgivning?

"Microsoft har aktivt bedt den amerikanske regering om at tillade, at Microsoft offentliggør mere fuldstændig information om, hvordan vi håndterer anmodninger om kundedata af hensyn til den nationale sikkerhed - og Microsoft Danmark står altid til rådighed for danske kunder i tilfælde af spørgsmål eller kommentarer.

Garanterer I jeres private og offentlige danske kunder, at I ikke stiller kundedata til rådighed for amerikanske myndigheder?

"I overensstemmelse med vores aftaler bestræber vi os på at omdirigere myndigheder til at indhente kundedata hos kunden direkte. Microsoft giver ikke de amerikanske myndigheder eller andre myndigheder direkte eller uhindret adgang til kundedata. Hvis en myndighed ønsker adgang til kundedata, skal myndigheden følge den proces, der er fastsat derfor.

Krav om udlevering af kundedata fra en myndighed bliver grundigt gennemgået af Microsofts compliance team, som sikrer, at kravet er gyldigt. Microsoft udleverer ikke kundedata som følge af generaliserede krav, og en eventuel udlevering vil kun ske, hvis Microsoft er forpligtet til det under lovgivningen og som følge af et specifikt krav. Microsoft har aldrig udleveret kundedata fra en privat erhvervskunde eller offentlig kunde under hensyn til nationale sikkerhedsinteresser.

Findes der en aftale med amerikanske myndigheder om, at Microsoft i Danmark skal udlevere/give adgang til data, hvis amerikanske myndigheder ønsker det også uden for USA?

"Nej. Indtil mediernes dækning af historien havde Microsoft aldrig hørt om "Prism", og Microsoft har ikke tilmeldt sig det eller et andet lignende program. For at sikre den størst mulige gennemsigtighed har Microsoft i foråret 2013 udgivet Law Enforcement Request Report 2012, som indeholder detaljerede oplysninger om de efterforskningsrelaterede krav om kundedata, Microsoft har modtaget globalt. I rapporten giver Microsoft i videst mulige omfang indsigt i praksis omkring myndighedsanmodninger.

Lovgivningen sætter også grænser for, hvor gennemsigtige Microsoft kan være. Men, som det også fremgår af et blogindlæg af Brad Smith, General Counsel og Executive Vice President i Microsoft, har Microsoft opfordret den amerikanske regering til at tillade, at Microsoft også inkluderer yderligere detaljer som volumen og omfang."

Har amerikanske eller danske myndigheder bedt om data fra Microsoft Danmarks kunder eller jeres datacentre i DK som konsekvens af amerikanske retskendelser om adgang til eller udlevering af data?

"Såvel danske som amerikanske myndigheder beder om kundedata, som det fremgår af Microsofts Law Enforcement Request Report 2012. Som det også fremgår af rapporten, vedrører 99 procent af anmodningerne - fraregnet "national security orders", som hæmmer gennemsigtigheden - vores forbrugerservices. Globalt vedrørte 11 efterforskningsanmodninger erhvervs- og offentlige kunder, og af disse imødekom Microsoft 4."

Har Microsoft Danmark udleveret data fra kunder eller jeres datacentre i DK til amerikanske eller danske myndigheder som konsekvens af amerikanske retskendelser om adgang til eller udlevering af data?

"Microsoft Danmark behandler ikke selv kundedata og driver ikke selv datacentre. Omfanget af udleveringer af kundedata på globalt plan fremgår af Microsofts Law Enforcement Request Report 2012."

Forventer Microsoft Danmark, at afsløringerne af NSA's overvågning af brugere vil påvirke jeres omsætning i Danmark?

"Vi har ingen aktuelle forventninger om, at Microsofts omsætning vil påvirkes af historierne om overvågning. Microsoft Danmark sætter stor pris på vores løbende dialog med danske kunder, og den tillid, de viser Microsoft. Vi mener, at kunder altid skal vælge den eller de leverandører og de produkter eller tjenesteydelser, som de har tillid til."

Konklusion: Sådan står du og dine data

Whistlebloweren Edward Snowdens afsløringer af de amerikanske efterretningstjenesters overvågning af kommunikation på nettet har skabt stor debat i USA, hvor den enkelte borgers ret til at færdes frit og have et privatliv er en grundlæggende værdi.

Men hvor sikker kan du som dansker være på, at amerikanske myndigheder ikke får adgang til dine mails og dine data?

Ikke så overraskende blæser svaret i vinden. Det handler i høj grad om jura, og derfor derfor er det bedste råd faktisk det, som kommer fra eksempelvis IBM, som anbefaler kunderne at læse det, der står med småt i kontrakter og almindelige forretningsbetingelser.

Hidtil har tvivlen om hvorvidt det er klogt at gemme sine data i skyen handlet om priser, oppetider, skalerbarhed og andre rent tekniske udfordringer, som cloud skaber.

"Problemet er, at du som bruger er i en situation, hvor du skal træffe et valg på et ufuldstændigt grundlag"

Men som Snowden-skandalen viser, er der på det helt grundlæggende plan intet nyt under solen. Kogt helt ned er det (stadig) et spørgsmål om, hvor stor tillid du har til din udbyder. Problemet er, at du som bruger er i en situation, hvor du skal træffe et valg på et ufuldstændigt grundlag

Tillid er den hårde valuta i it-branchen

Tillid er derfor igen ved at blive den hårdeste valuta i it-branchen. Den pointe understreges også af det store lobby-arbejde, som en række af de amerikanske it-mastodonter gør for at få lov til at fortælle mere om, hvad de udleverer og til hvem. De synes ikke, det er sjovt at ende på alverdens avisforsider uden at have mulighed for at fortælle deres kunder, præcis hvad de egentlig har gang i.

For konklusionen er, at du som slutbruger faktisk står temmelig svagt, når det gælder beskyttelse af dine data og dit privatliv.

Det virkeligt nye er de store og ofte skræmmende muligheder for brug og misbrug af data, som teknologien skaber.

For eksempel om efterretningsvirksomhed kan glide over i ren industrispionage mod europæiske virksomheder, der gemmer data hos et amerikansk firma.

Læs også: Sådan kan USA tvinge danske firmaer til at udlevere dine data




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere