Aula-tumult i Datatilsynet gør edtech-leverandører nervøse

2 kommentarer.  Hop til debatten
Børn computer
Aula, som bliver brugt af både børn i folkeskolen og deres forældre, er udfordret af sin brug af cloud-løsninger. Illustration: Ilona Titova.
Mens Kombit forsøger at redde trådene ud med Datatilsynet i forhold til brugen af Amazons cloud-løsning, holder edtech-branchen vejret i forventningen om en afgørelse, som kan få vidtrækkende konsekvenser.
9. maj kl. 14:41

Den nye cloud-vejledning fra Datatilsynet har været længe ventet for danske virksomheder, men den har samtidig sendt chokbølger igennem dem, som på den ene eller anden måde arbejder med undervisningsteknologi til folkeskolen. Især efter at tilsynet kort efter påske svarede på spørgsmål fra Kombit angående brugen af AWS-cloudløsningen til Aula.

Kort sagt lød svaret nemlig, at Kombits nuværende setup i forhold til dataoverførsler til usikre tredjelande er i strid med GDPR-reglerne. Dermed lader det også til, at en god del af andre edtech-virksomheder, der benytter AWS eller andre amerikanske cloud-løsninger, vil kunne komme i klemme.

»Vi får rigtig mange spørgsmål til Datatilsynets cloud-vejledning for øjeblikket. Lige nu holder alle vejret for at se, hvad der sker, og hvad det får af konsekvenser, og med hensyn til Aula-spørgsmålet er det ekstra spændende, for selvom Aula/Kombit-konstellationen er en privat løsning, er den en meget stor del af infrastrukturen i folkeskolen,« lyder det fra Esben Trier, adm. direktør for interesseorganisationen Edtech Denmark.

Den nervøse stemning viser sig også ved, at ingen af de edtech-virksomheder, som Edutech har kontaktet, ønsker at fortælle om deres overvejelser i forhold til brugen af cloud-løsninger fremover. Ligesom Kombit, afviser også de andre at kommentere på noget så længe, at Kombit og Datatilsynet er i dialog om, hvordan problemet skal adresseres.

Artiklen fortsætter efter annoncen

»Med hensyn til den nye cloud-vejledning, så ser vi det som sådan positivt, at der er kommet en afklaring på, hvordan reglerne skal tolkes. Det er bekymrer os i Edtech Denmark – og det er på vegne af uddannelsesinstitutionerne, kommunerne og virksomhederne – er, at der her er tale om meget stram og rigid fortolkning, fordi der faktisk er ret forskellige måde at fortolke det på i EU-landene,« fortæller Esben Trier og tilføjer: 

»I den konkrete sag med Aula og Kombit, så betyder det, så vidt man kan læse, at Aula ifølge Datatilsynet ikke overholder retningslinjerne og dermed lovgivningen i forhold til brugen af cloudløsning, og det må så også betyde, at kommunerne og uddannelsesinstitutionerne heller ikke overholder lovgivningen. Vi ved også, at det ikke kun gælder Aula, men langt de fleste af de store leverandører til folkeskolen, som bruger cloud. Så det her er potentielt meget vidtrækkende, og det burde Undervisningsministeriet forholde sig til - at ingen åbenbart overholder lovgivningen«

Ikke nødvendigvis et dødsstød til cloudløsninger

At der skulle komme nogen form for opblødning i den måde, som Datatilsynet fortolker reglerne på, skal edtech-sektoren dog næppe sætte sin lid til. Det fortæller Martin Nielsen, der er advokat hos DLA Piper og primært beskæftiger sig med databeskyttelse, cybersikkerhed og operationel compliance.

»I den her sag skal vi nok regne med, at det er sådan, det bliver. Når Datatilsynet udtaler sig på forhånd, plejer de at skrive, at de forbeholder sig retten til at mene noget andet i andre, mere konkrete sager, men her er der allerede tale om et meget konkret tilfælde, der bliver spurgt ind til. Så det de har sagt i det her tilfælde, holder de efter al sandsynlighed fast i,« forklarer han.

Artiklen fortsætter efter annoncen

Ifølge Martin Nielsen er det dog ikke ensbetydende med, at virksomhederne nødvendigvis skal springe fra borde hos AWS eller andre amerikanske cloud-løsninger såsom eksempelvis Microsoft eller Google.

»Man kan ikke sætte det så firkantet op, at man bliver nødt til at skrotte AWS på grund af de her regler, men det Datatilsynet siger, er, at når USA har retsakter, som gør, at de amerikanske myndigheder kan få oplysninger udleveret uanset, hvor i verden de er, så skal der træffes supplerende sikkerhedsforanstaltninger, hvis du vil bruge denne form for cloud-løsning,« siger Martin Nielsen og tilføjer:

»Datatilsynet udtaler sig selvfølgelig ud fra den beskrivelse af forholdene, de har fået fra Kombit, og man kan altid tænke sig til alle mulige andre forhold, men den mest simple måde at løse det på ville nok være en kryptering af data. Hvis du selv sidder på krypteringsnøglen, så AWS ikke kan få fingre i data, vil der sandsynligvis ikke være noget til hindring for brugen af AWS til folkeskolens løsninger. At det så teknisk kan være frygtelig bøvlet er en anden snak.«

Hvor er proportionaliteten?

At det kan blive en dyr og besværlig omgang at skifte cloud-leverandør er også noget, man er meget bevidst om hos Edtech Denmark, som netop skeler til praktiske konsekvenser, det kan have, hvis der er en lang række leverandører til det danske skolesystem, som skal skifte cloudløsning.

»Det at skifte it-systemer er jo ikke noget, man bare lige gør. Det har store økonomiske og administrative konsekvenser, hvilket også er derfor, at det her er så signifikant. Hvis det var lige så let som at knipse med fingrene, ville vi ikke have den her diskussion.«

Hos Edtech Denmark bunder den største frustration dog især i, at der er stor forskel på, hvor følsomme oplysninger, som de enkelte undervisnings-løsninger håndterer, men at de alligevel lader til at blive ramt, uanset om de håndterer informationer om skoleelevers angst-diagnoser eller blot deres brugernavne.

»Fordi de synes, det er en alvorlig problematik, så behandler mange af vores medlemmer data som sensitive for at beskytte børnene, men langt de fleste af dem håndterer slet ikke den form for data, som Aula gør. Det synes jeg er vigtigt at skelne imellem. Det må være muligt at have en form for proportionalitet i den her diskussion i forhold til, hvilke data, der bliver håndteret, hvem der står for det, og hvordan de kan misbruges,« siger Esben Trier.

Kun to muligheder på brættet

Det er endnu uvist, hvor lang tid, Datatilsynet og Kombit skal bruge på at diskutere, hvad der skal stilles op med brugen af AWS-løsningen, og hvad det i så fald får af konsekvenser for andre leverandører på området.

På det seneste har Datatilsynet dog uddelt en hel del bøder for overtrædelse af GDPR-forordningen, men hvad der er det mest sandsynlige resultat tøver advokat Martin Nielsen dog at spå om.

»Dybest set er der vel kun to muligheder – et umiddelbart forbud eller en periode til at få løst problemerne, men det forhold, at Datatilsynet har inviteret parterne til en fortsat dialog for at finde en løsning, tyder nok mest på det sidste, og her kan det måske spille ind, at EU har meddelt, at der forventes at komme en løsning på problemet i form af en ny aftale med USA,« siger Martin Nielsen.

2 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
13. maj kl. 19:53

Hvad er problemet? Cloud er bare et modeord for stor computer/datacenter/mainframe. Der findes også datacentre i EU der ikke er ejet af firmaer i et usikkert 3. land - flyt driften derover og problemet er løst.

2
14. maj kl. 14:35

Pointen med de moderne udviklingsmetoder CI/CD, containers, infrastructure as code, serverless deployment osv. er netop at gøre det enkelt at skifte hardwaren som programmerne kører på. Så ja, det burde være enkelt.