Gå hjem, cloud

For nylig afholdt Datatilsynet et par såkaldte gå-hjem-møder vedr. anvendelse af cloud, i forlængelse af den cloud-vejledning, de har udgivet.

En optagelse af et af møderne dateret d. 21. juni 2022 er blevet gjort tilgængeligt af Datatilsynet:

Der er meget materiale at dykke ned i, men lad mig dvæle ved denne passage fra navnkundige Allan Frank (ca. 12:18 – 12:58):

Du er simpelthen nødt til, kontraktuelt, i det samarbejde man har med sin leverandør, at kunne kræve den sikkerhed, som du som dataansvarlig mener er nødvendig for at leve op til det her … og det er lidt besværet på den … og så kan I kalde det en illusion eller hvadsomhelst, men udgangspunktet i det her forhold er jo, at det er den dataansvarlige, der er den hund, der logrer med halen – og det er ikke databehandleren, der logrer med hunden i det her tilfælde. Så illusionen – eller realiteten, nærmere bestemt, i forordningen, og hele omdrejningspunktet, er jo den dataansvarliges ansvarlighed.

Allan Frank, Datatilsynet

Her berører Hr. Frank, på sin egen charmerende måde, denne tids gordiske privacy-knude: Så godt som alle virksomheder og myndigheder benytter i dag persondatabehandlere fra lande udenfor EU/,EØS (fx amerikanske cloudleverandører), og så godt som ingen organisationer har sikkerhed for, at denne behandling er lovlig.

Cloud-produkter (hvad enten der er tale om IaaS, PaaS eller SaaS) udmærker sig ved at være meget standardiserede varer. I langt højere grad end traditionel IT (selv go’ gammeldags COTS software), er cloudprodukter lavet til snævre globale specifikationer, for at kunne konkurrere på et marked, der i meget høj grad er drevet af volumen/economies of scale.

Så når de europæiske datatilsynsmyndigheder siger til virksomheder og myndigheder, at de skam bare skal kræve tilstrækkelig sikkerhed af deres amerikanske cloud-leverandør (som jo altså er blandt verdens suverænt største og mest magtfulde selskaber), så ved alle involverede jo godt, at fx Hvidovre Kommune eller Knud Hansen VVS ApS næppe får særbehandling af Microsoft eller Amazon.

Med til billedet hører, at netop de amerikanske cloudprodukter er så godt som uomgængelige, hvis man vil have det bedste og billigste, og ikke vil nøjes med de europæiske alternativer. For netop denne type tjenester gælder faktisk, at netop fordi de er de største, er de i mange tilfælde de bedste.

Som tidligere anført venter alle nu på TADPF, men …

  • … selv en “Privacy Shield 2” vil “kun” forholde sig til USA, og ikke til de mange andre lande, hvortil overførsler stadig vil være ulovlige i udgangspunktet (og her skal de bemærkes, at de amerikanske cloudtjenester benytter sig af rigtig mange underdatabehandlere, der hverken er hjemmeboende i hverken EU eller i USA).
  • Datatilsynet har indledt tilsyn med brug af cloud hos to offentlige myndigheder, og annonceret at de vil fortsætte hos private virksomheder – helt i modstrid med det, jeg havde forventet.

Hvilket jo efterlader organisationer, der både gerne vil levere den bedste ydelse til den bedste pris for at kunne konkurrere på europæiske og globale markeder, eller bare forvalte skatteyderes penge bedst muligt, og være nogenlunde sikre på ikke at få en bøde eller i det mindste alvorlig kritik, hvis datatilsynsmyndighederne dukker op, uden særlig mange gode muligheder.

Man kan sætte det på spidsen og spørge, om ikke de europæiske lovgivere simpelthen burde forbyde Amazon, Microsoft, Google, SAP, Salesforce, Oracle, IBM og alle de andre at sælge deres cloudtjenester i Europa? Når nu det i praksis ikke kan lade sig gøre at bruge deres tjenester lovligt (i andet end i rent teoretiske tilfælde, hvor man slet ikke behandler persondata)?

Det ville naturligvis have katastrofale følger for det europæiske erhvervsliv og offentlige myndigheder. Men det ville i det mindste være ærligt, virksomheder og myndigheder ville slippe for maskespillet, hvor alle lader som om de følger reglerne selvom ingen faktisk gør det, og de europæiske borgere ville kunne tage stilling til, om det faktisk er en europæisk virkelighed uden amerikansk cloud (og globale underleverandører), de ønsker.

Med næsen i sky

Datatilsynet har i denne uge udgivet en detaljeret vejledning om cloud:

https://www.datatilsynet.dk/Media/637824109172292652/Vejledning%20om%20cloud.pdf

… og den er jo ikke mindst interessant i lyset af at Københavns Kommune jo netop har smidt cloud-håndklædet i ringen. Men giver den nye vejledning håb til masserne, der ligesom kommunen leder efter en smutvej uden om Schrems? En nem måde at bare bruge amerikansk cloud, ligesom i (ahem) gamle dage?

Nej, desværre.

Grundlæggende er vejledningen en mere udførlig gengivelse af den 6-trins-model, som EDPB og de nationale tilsyn udsendte allerede sidste år:

Og én væsentlig udfordring, man løber ind i med at forsøge at følge 6-trinsmodellen (og derfor også med Datatilsynets vejledning), indtræffer i modellens step 1, det som vejledningen også omtaler som: Kend dine dataoverførsler. Det lyder simpelt, men når man først indser at man som dataansvarlig skal stå på mål for alle sine databehandlere, og alle deres databehandlere (underdatabehandlere), og alle deres databehandlere (underunderdatabehandlere) og … ja, altså hele kæden af databehandlere, uanset i hvor mange led, og at ansvaret altså ikke aftager med antallet af led, ja, så mister de fleste pusten inden de næsten er kommet i gang.

Udsnit af side 13 af vejledningen

Jeg sad for nylig i møde med en amerikansk ejet, global softwarevirksomhed med tusindvis af ansatte, og som i øvrigt sælger løsninger baseret på public cloud, og jeg spurgte deres sikkerhedschef, om de havde et overblik over hvilke underleverandører, herunder underdatabehandlere, de havde.

Svaret: “Vi bruger ikke underleverandører”!

Den manglende forståelse siger noget om hvor langt vi er fra en situation, hvor det man som europæisk dataansvarlig mangler, er en mere pædagogisk og detaljeret vejledning. Men tak til Datatilsynet for at gøre sig umage med at forklare og eksemplificere reglerne, så alle nu kan se, hvordan virkeligheden burde se ud.

Imens jeg har skrevet på dette indlæg kan jeg se, at altid skarpe Henning Mortensen fra RfDS har forholdt sig til vejledningen: “Problemstillingerne har ikke ændret sig med den her vejledning”.

Den digitale gasledning

Resten af verden er som bekendt i fuld gang med at afskære Rusland finansielt og kulturelt, glimrende illustreret i dette opslag:

https://www.linkedin.com/posts/alexandrakrautwald_ikea-og-lego-lukker-deres-drift-apple-pay-activity-6905805941480980480-BgYy

Det skal blive interessant at se hvornår den digitale verden for alvor følger trop og de store amerikanske cloud-leverandører også lukker for russerne:

https://www.geekwire.com/2022/analyst-only-a-matter-of-time-before-u-s-cloud-companies-shut-off-services-in-russia

På lidt længere sigt er det værd at tænke over, at globalisering og ikke mindst “cloudificeringen” af vores allesammens IT-løsninger også binder os tættere sammen rent politisk.

Efter Schrems II har vi på tværs af Europa set, at selvom vi nu ved, at brug af amerikanske cloudtjenester i mange sammenhænge slet ikke er lovligt, har der ikke for alvor været vilje til at rette ind og ændre praksis, hverken politisk eller i erhvervslivet. Jovist, der er punktvise EU-baserede alternativer, men de færreste politikere og erhvervsledere finder det hverken realistisk eller ønskeligt helt at undgå de største (og derfor, i mange sammenhænge, bedste og billigste) leverandører. Så alle har reelt foldet hænderne og ventet på at juristerne finder en eller anden løsning – lige med undtagelse af NOYB, naturligvis.

Hvor mange danske virksomheder og myndigheder kunne i dag tåle at “den digitale gasledning” under Atlanterhavet blev lukket, og datastrømmen fra fx Amazon, Google, Microsoft, IBM, Oracle og Salesforce blev afbrudt?

Dette kan meget vel blive virkelighed for Rusland i allernærmeste fremtid, og man vel ikke udelukke, at det kan ske for Danmark eller Europa engang i fremtiden, fx som konsekvens af en (handels)krig? Er vores vestlige alliancer robuste nok til at vi kan tillade os ikke at være selvforsynende med bæredygtige digitale ydelser?