Gå hjem, cloud

For nylig afholdt Datatilsynet et par såkaldte gå-hjem-møder vedr. anvendelse af cloud, i forlængelse af den cloud-vejledning, de har udgivet.

En optagelse af et af møderne dateret d. 21. juni 2022 er blevet gjort tilgængeligt af Datatilsynet:

Der er meget materiale at dykke ned i, men lad mig dvæle ved denne passage fra navnkundige Allan Frank (ca. 12:18 – 12:58):

Du er simpelthen nødt til, kontraktuelt, i det samarbejde man har med sin leverandør, at kunne kræve den sikkerhed, som du som dataansvarlig mener er nødvendig for at leve op til det her … og det er lidt besværet på den … og så kan I kalde det en illusion eller hvadsomhelst, men udgangspunktet i det her forhold er jo, at det er den dataansvarlige, der er den hund, der logrer med halen – og det er ikke databehandleren, der logrer med hunden i det her tilfælde. Så illusionen – eller realiteten, nærmere bestemt, i forordningen, og hele omdrejningspunktet, er jo den dataansvarliges ansvarlighed.

Allan Frank, Datatilsynet

Her berører Hr. Frank, på sin egen charmerende måde, denne tids gordiske privacy-knude: Så godt som alle virksomheder og myndigheder benytter i dag persondatabehandlere fra lande udenfor EU/,EØS (fx amerikanske cloudleverandører), og så godt som ingen organisationer har sikkerhed for, at denne behandling er lovlig.

Cloud-produkter (hvad enten der er tale om IaaS, PaaS eller SaaS) udmærker sig ved at være meget standardiserede varer. I langt højere grad end traditionel IT (selv go’ gammeldags COTS software), er cloudprodukter lavet til snævre globale specifikationer, for at kunne konkurrere på et marked, der i meget høj grad er drevet af volumen/economies of scale.

Så når de europæiske datatilsynsmyndigheder siger til virksomheder og myndigheder, at de skam bare skal kræve tilstrækkelig sikkerhed af deres amerikanske cloud-leverandør (som jo altså er blandt verdens suverænt største og mest magtfulde selskaber), så ved alle involverede jo godt, at fx Hvidovre Kommune eller Knud Hansen VVS ApS næppe får særbehandling af Microsoft eller Amazon.

Med til billedet hører, at netop de amerikanske cloudprodukter er så godt som uomgængelige, hvis man vil have det bedste og billigste, og ikke vil nøjes med de europæiske alternativer. For netop denne type tjenester gælder faktisk, at netop fordi de er de største, er de i mange tilfælde de bedste.

Som tidligere anført venter alle nu på TADPF, men …

  • … selv en “Privacy Shield 2” vil “kun” forholde sig til USA, og ikke til de mange andre lande, hvortil overførsler stadig vil være ulovlige i udgangspunktet (og her skal de bemærkes, at de amerikanske cloudtjenester benytter sig af rigtig mange underdatabehandlere, der hverken er hjemmeboende i hverken EU eller i USA).
  • Datatilsynet har indledt tilsyn med brug af cloud hos to offentlige myndigheder, og annonceret at de vil fortsætte hos private virksomheder – helt i modstrid med det, jeg havde forventet.

Hvilket jo efterlader organisationer, der både gerne vil levere den bedste ydelse til den bedste pris for at kunne konkurrere på europæiske og globale markeder, eller bare forvalte skatteyderes penge bedst muligt, og være nogenlunde sikre på ikke at få en bøde eller i det mindste alvorlig kritik, hvis datatilsynsmyndighederne dukker op, uden særlig mange gode muligheder.

Man kan sætte det på spidsen og spørge, om ikke de europæiske lovgivere simpelthen burde forbyde Amazon, Microsoft, Google, SAP, Salesforce, Oracle, IBM og alle de andre at sælge deres cloudtjenester i Europa? Når nu det i praksis ikke kan lade sig gøre at bruge deres tjenester lovligt (i andet end i rent teoretiske tilfælde, hvor man slet ikke behandler persondata)?

Det ville naturligvis have katastrofale følger for det europæiske erhvervsliv og offentlige myndigheder. Men det ville i det mindste være ærligt, virksomheder og myndigheder ville slippe for maskespillet, hvor alle lader som om de følger reglerne selvom ingen faktisk gør det, og de europæiske borgere ville kunne tage stilling til, om det faktisk er en europæisk virkelighed uden amerikansk cloud (og globale underleverandører), de ønsker.

KL (Kun Lettelse): TADPF er på vej!

Som nævnt er alene annonceringen af en kommende, ny aftale om EU/USA-dataoverførsler nok til, at de fleste virksomheder, organisationer og myndigheder i praksis ånder lettet op, som eksemplificeret i Version 2’s artikel:

https://www.version2.dk/artikel/kl-jubler-over-ny-data-aftale-det-er-en-kaempe-kaempe-lettelse

Champagnepropperne er faktisk allerede sprunget, forstår man:

“Interesseorganisationen har sammen med landets 98 kommuner været i venteposition i snart to år, og derfor mener hun, det var helt naturligt, at man fejrede udmeldingen i fredags”

Er der da ingen skepsis eller frygt for, at lovgiverne igen laver en ordning, der viser sig at være ulovlig? Nej:

KL: “Vi har da helt klart en forventning om, at man finder en vej ind i det her juridisk. For ellers går man vel ikke ud fra EU-Kommissionens side og siger, at nu har man fundet et overførselsgrundlag. […]”

V2: “Men de har jo gjort det en gang før.

KL: “Ja. Men fra KL’s side vælger vi at stole på Kommissionen.”

I praksis må man antage at den politiske hensigtserklæring om en ny overførselsaftale langt, langt de fleste steder – ligesom i KL – allerede har medført, at akutte tiltag for at leve op til Schrems II-dommen er blevet sat på pause, hvis de da ikke var det i forvejen. Og her skal ordet pause forstås som var det et teenage-kæresteforhold: Man ved, det reelt er forbi, men har brug for at sige det på en pæn måde.

For hvorfor bakse med at finde på rene EU-alternativer til amerikansk cloud, når vi nu ved, at der kommer en ordning? Hvorfor lave megabesværlige afdækninger af hele kæden af underdatabehandlernes underdatabehandlere, hvis det ikke er pinedød nødvendigt?

Tænkningen er naturligvis, at det er usandsynligt at en tilsynsmyndighed, i denne situation hvor politikerne over en så bred kam så utvetydigt har tilkendegivet, at de ønsker at få problemstillingen til at gå væk, vil begynde at slå helt almindelige danske organisationer i hovedet med deres helt almindelige brug af amerikanske cloudtjenester.

Tilbage er blot at håbe, at TADPF-aftalen holder hvad den lover, altså at “normalisere” brugen af amerikanske IT-ydelser, og bringe os alle sammen tilbage til tiden før Max Schrems stak en kæp i dataoverførselshjulet, ikke én, men to gange.

I modsat fald kommer KL og alle vi andre til at ærgre os over, at vi ikke fortsatte det møjsommelige arbejde med at finde rene EU-alternativer, afdække underunderunderdatabehandlere og undersøge de juridiske forhold ift. persondatabeskyttelse i Filippinerne.