Hvis en politimyndighet banker på døren hos Jottacloud for å hente ut data i en etterforskning, kommer den norske skylagringsleverandøren til å varsle samtlige kunder.
– Vi har vurdert det juridiske aspektet, sier daglig leder Roland Rabben.
Les også: Folk vil ha norsk lagring for å unngå amerikansk overvåking
Hemmelig
I praksis handler det om at myndighetene kan komme med en begjæring om utlevering, og der dette skal holdes skjult for den som eier den aktuelle kontoen.
Her har ikke Jottacloud lov til å varsle eieren, men mener at det er greit å varsle alle kundene på en passiv måte.
– Det betyr at vi hver uke vil publisere et dokument dersom vi ikke har mottatt noen utleveringsordrer fra myndighetene. Dersom vi slutter å oppdatere dette dokumentet, så må våre brukere gå ut i fra at vi har mottatt en «hemmelig» utleveringsordre, skriver selskapet på sin hjemmeside.
Les også: Apple med storsatsing på nettsky
Taus varsling
Ideen er hentet fra USA og kalles «warrant canary» eller rett og slett "kanarifugl". Prinsippet stammer fra sikkerhetsvarsling i tidligere gruvedrift:
En kanarifugl ble holdt i bur i gruvegangene. Når den sang, var alt normalt. Hvis den ble taus, var det et tegn på oksygenmangel og fare for karbonmonoksidforgiftning.
– På samme vis vet brukerne våre at ting er normalt så lenge vi holder dokumentet oppdatert. Hvis det går ut på dato, betyr det at vi har hatt en hemmelig utlevering av data, sier Rabben til digi.no. Dokumentet finner du her.
Les mer: Ny strategi mot datakrim
Nyttig å varsle
– Hvorfor vil dere varsle brukerne?
– Det er et ønske om å være veldig åpen og klar på hvordan vi håndterer henvendelser fra myndighetene, svarer Jottacloud-sjefen.
Selskapet agerer ut fra to type hendelser: Ved en begjæring som ikke er unntatt offentlighet, og da kan kontoeieren bli varslet om forholdet.
Ved en hemmelig begjæring om utlevering, må selskapet samarbeide med myndighetene uten å kunne røpe noe for den aktuelle kunden.
– Men vi syns det er nyttig for brukerne å få et hint om omfanget av utleveringsbegjæringer. Derfor har vi laget denne mekanismen hvor vi kan gi en indikasjon på at det er mottatt en henvendelse. Dette gjelder jo ikke enkeltbrukere, men her får alle den samme beskjeden, slik at hver og en kan trekke de slutninger man vil, forklarer Rabben.
Les gjerne: HP trukket inn i dansk korrupsjonssak
Jussen er OK
– Varsler dere før eller etter at data er utlevert?
– Tidsstempelet på «kanarifugl-dokumentet» blir oppdatert en gang i uken, så det er ikke snakk om umiddelbar varsling.
– Har dere vurdert det juridiske i denne praksisen?
– Ja, vi har sjekket dette og har ikke funnet noe som tilsier at vi ikke skal kunne benytte denne metoden.
Les også: Blir skytjenester blokkert av arkivloven?
Hindre etterforskning
– Hva med den moralske siden? Hvis varslingsdokumentet går ut på dato kort tid etter at dere har fått en hemmelig begjæring, skulle en bruker kunne slette data og avslutte kontoen før politiet rekker å sikre bevis i en kriminalsak?
– Det er ikke snakk om at denne varslingen vil hindre etterforskning. Vi er pålagt å samarbeide og vil hente ut data umiddelbart. Og skulle en bruker slette data, er den uansett tilgjengelig i noen dager etterpå. Det er en innebygget funksjon, i første rekke for brukernes sikkerhet, sier Roland Rabben.
Så du denne? Stort angrep på App Store