EU-dom har lammet kæmpe cloud-omstilling i Københavns Kommune

7. marts kl. 03:4517
Pigtråd
Illustration: Singjai | Bigstock.
Schrems II-dommen kommer til at koste mindst 13,1 millioner kroner i udskudte effektiviseringer hos Københavns Kommune de kommende år. Et storstilet cloud-projekt er nemlig sat på hold, imens man venter på »juridisk magi« fra EU-Kommissionen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Imens politikere i EU arbejder på højtryk for at kunne give hånd på en ny aftale om persondataoverførsler til USA, kæmper virksomheder og organisationer fortsat med eftervirkningerne af Schrems II i Danmark.

Dommen har rejst sig som et pigtrådshegn, heller ikke Københavns Kommune kan kravle over. Myndigheden valgte nemlig sidste år at sætte et stort cloud-projekt på hold og udskyde overførslen af forvaltningens it-systemerne til skyen, lige nu kan man nemlig ikke gøre det på en lovlig måde, lyder vurderingen.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
17 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
17
10. marts kl. 07:13

Det er det samme som Microsoft gjorde for nogle år tilbage (før SchremsII) men som de stoppede med for det var ca 25% dyrere (ikke nok efterspørgsel) og nok også fordi big tech mente at deres argumenter med at data ligger fysisk på servere i EU var nok. Hvilket jo ikke holdt.

Så denne løsning er ikke dum, for så ligger data også hos en med jurudusk hovedsæde i EU

16
8. marts kl. 10:30

Det er noget af en påstand. Noget du kan yddybe og har kilder til?

Du har citeret to sætninger. Den anden indeholder ordet 'nok', og skal derfor læses som Thomas' formodning. Det kræver i sagens natur ikke kilder at tilkendegive hvad man formoder.

Som kilde til den første sætning, kan du starte med at læse ovenstående artikel, samt indlæg #6.

14
7. marts kl. 21:06

Jeg er sikker på at der også er danske datacentre som kan levere.

13
7. marts kl. 19:53

Dommen er én ting, men som flere har skrevet er det et symptom på helt forkert fokus.

For en ting er om data kan sendes til USA eller ej, men der er også et meget større spørgsmål: hvorfor skulle det være et problem?

For det er kun et problem hvis man har et vendor lockin af rang.

Man skal jo have styr på sine ting, om det så kører i et cloud miljø på geotermisk energi på island eller vindmølledrevet ved vesterhavet så skal man til enhver tid kunne skifte leverandør.

Det lyder som om at man har lagt sig fast på en arkitektur som kun ét firma kan levere og det er ikke holdbart. Der er masser af løsninger derude som sagtens kan driftes i EU, i skandinavien eller sågar her i DK - når selv FaceBook opretter cloud datacentre i DK hvorfor skulle der ikke også kunne være cloud leverandører indenfor DK's grænser.

Skriv gerne under her: https://publiccode.eu/

12
7. marts kl. 19:30

Sjuskeriet koster Københavns sagesløse borgere miliarder. Den kommunale forvaltning skal nok holde sit på det tørre.

11
7. marts kl. 12:48

Den ventetid hvor den "lovede besparelse" ikke er blevet indfriet (om den så bliver det er en anden sag :) - har man vel så evalueret europæiske providers? Hetzner har f.ex. både fysiske servere til MEGET BILLIGE PRISER (ifht. at købe en fuldtids high-spec VM i Azure, AWs eller GCE) og man kan f.ex. sagtens sætte et Kubernetes grundlast miljø op på fysiske servere og så udvide adhoc, automatisk (ligesom man gør i andres cloud) - vha. hetzners VM setup.

Jeg er helt enig, men for mig er det helt sort, at man regner sådan i det offentlige.

I det private medtager man en gevinst når den er sikker og et tab, når det truer.

Baseret på normale danske regnskabsprincipper - er Københavns kommune jo ”helt væk” når de taler om besparelser på serverdrift - når der i virkeligheden er tale om et ”de facto” tab knyttet til den usikkerhed der på om man overhoved får lov til at sætte løsningen i drift.

Kernen er jo, at hvis vi skærer de fine ord væk og alene kigger på kommunens handlinger, så spiller kommunen jo Roulette med borgernes penge. Det eneste vi diskuterer risikoen (e.g. får kommunen lov til at bruge AWS som cloud eller ikke).

I mine øjne er den risiko ret høj, fordi EU-retten allerede har fejet både Safe Habour og Privacy Shield løsninger af bordet og at alle jurister af betydning, er enige om at det er ret usandsynligt med at man finder en løsning, medmindre at USA ophæver deres overvågningslove.

Derudover bør man efter normale regnskabsprincipper medtage tabet udtryk i kroner i deres investeringskalkule og prissætte den samlede risiko i DKK for at få et samlet billede at indsatsen på Rouletten.

Enten har Københavns kommune en insiderviden vi ikke har eller nærmer man sig noget erstatningspådragende når man forsætter ud af et spor, som har i flere år har været juridisk lukket.

10
7. marts kl. 12:32

"»Det vil være økonomisk fordelagtigt at lukke kommunernes datacentre og i stedet flytte systemer og it-infrastruktur til en ekstern cloud-leverandør. Hermed sikres det, at ingen forvaltninger efterlades med stigende omkostninger til drift af tilbageværende systemer i kommunens egne datacentre,« skriver kommunen i investeringsforslaget til cloud-projektet. Samtidig regner man med at styrke it-sikkerheden, fordi cloud-leverandørerne, med større og mere specialiserede organisationer, bedre vil kunne håndtere eventuelle sikkerhedstrusler sammenlignet med Koncern IT."

Lover cloud-lobbyisten (med fingrene krydet bag ryggen)... (Hvor mange møder har der været holdt med denne?)

Vi er vel en del, som opfatter clouden som en sikkerhedstrussel i sig selv - i hvert fald for privatlivet. Og det kan blive en dyr fornøjelse...

Forståelsesspørgsmål ang. dette: * "Samtidig regner man med at styrke it-sikkerheden, fordi cloud-leverandørerne, med større og mere specialiserede organisationer, bedre vil kunne håndtere eventuelle sikkerhedstrusler sammenlignet med Koncern IT."*

Det er sikkert rigtigt, at de har flere ressourcer til at håndtere evt. trusler - men betyder det ikke også, at hvis beskyttelsen alligevel svigter, så bliver langt flere ramt, end hvis det er et mere eller mindre isoleret system i en kommune?

I øvrigt lyder det jo til, at denne DPO er ærlig, og når til samme konklusioner som de lande, hvis datatilsyn indtil nu klart siger, at man ikke kan løse USA-problemet lovligt, sådan som det ser ud lige nu. Så der er DPO-en vel nogle skridt foran det danske Datatilsyn? Det er pinligt, at datatilsynet ikke tør være ærlige og tage selvstændigt stilling - hvem puster dem i nakken og tvinger dem til at trække tiden?

9
7. marts kl. 11:50

Det virker som om kommunen har sat sig fast på at KUN Azure dur? Den ventetid hvor den "lovede besparelse" ikke er blevet indfriet (om den så bliver det er en anden sag :) - har man vel så evalueret europæiske providers? Hetzner har f.ex. både fysiske servere til MEGET BILLIGE PRISER (ifht. at købe en fuldtids high-spec VM i Azure, AWs eller GCE) og man kan f.ex. sagtens sætte et Kubernetes grundlast miljø op på fysiske servere og så udvide adhoc, automatisk (ligesom man gør i andres cloud) - vha. hetzners VM setup.

Ligeså er der andre providere der tilbyder lignende i europe.. Hvilke har man evalueret? Og ja - en evt. juridisk spidsfindighed som får lov at gå igennem (ligesom den der nødvendiggjorde Schrems II - dvs. at den blev underkendt for 2. gang) - så vil den jo lide samme skæbne indenfor nogle år - sålænge USA's FISA act er som den er.. Det kan kommunens advokater da ikke være i tvivl om - så de må jo VIDE at det er spild af borgernes penge, at fortsætte med at satse så ensidigt?

Eller kalkulerer de bare med at slippe for at migrere væk, fordi "det vil være meget dyrt nu vi har satset hele butikken på én provider" ?

Man KUNNE jo også bygge sit system til at kunne fungere i en multi-provider cloud - så man kan migrere sine workloads imellem flere providere - og på den måde rent faktisk kan vælge den biligste/bedste provider til det relevante workloads (f.ex. har vi kunder der kører i AWS - men som har dyre workloads hvor de kun skal betale 1/10-del af prisen ved at flytte dem til f.ex. Hetzner) - og så forbinder man de miljøer via wireguard (vpn) - og får et endnu bedre setup.

8
7. marts kl. 11:49

Det, som du godt ved du ikke må, det må du altså IKKE!

6
7. marts kl. 11:07

Jeg er så træt af at høre på, at Schrems II koster penge og besvær.

Det er notorisk forkert!

Dommen stadfæster bare, at det er ulovligt at kaste forsvarsløse borgeres privatliv i grams til firmaer, der lovbefalet ikke kan garantere, at der bliver passet ordentligt på dem.

Pengene og besværet er skyldes udelukkende, at diverse myndigheder har truffet dårlige beslutninger.

I det konkrete tilfælde beklager kommunen sig over, at de fortsat må drive deres egne datacentre. Men borgernes data burde aldrig forlade kommunens datacenter. Ikke til USA, ikke til Kina, ikke engang til et privat firma lige om hjørnet, medmindre man virkelig har grund til at stole på dem.

Forestil jer, hvis kommunen for 20 år siden havde meldt ud, at de ville spare penge ved at opbevare socialforvaltningens papirarkiv i et fjernlager i Kina. Eller bare hos Petersens Lager og Skrothandel.

Det her er meget værre.

4
7. marts kl. 10:33

For mig er det en gåde, at man bliver ved med at ”gå tilbage til den fuser som hedder data i USA (Uanset formen)”.

Uanset hvad der (måske) kommer i stedet for Privacy Shield, så vil den løsning blive udfordret ved domstolene og formentligt igen blive fejet af bordet.

Hold jer væk (offentlige virksomheder) fra US baserede clouds.

Sikkerhed har en pris og når en kommune som København drifter deres eget datacenter, så overholder det datacenter formentligt lovgivningen og det gør US Clouds ikke.

Det er derfor det er billigere – computere, CPU, Strøm, Hardware mv. koster globalt set samme.

Jeg tvivler på, at US Clouds over en bred kam er i stand til at opnå fordele i drift af offentlige løsninger i EU, fordi de er så forskellige – både imellem lande og indenfor landet – imellem myndighederne.

Hvis det er besværligt i Danmark med de data, så er det også besværligt i USA og hvis man så lever med helt andre ”regler og love på rygraden” så kan meget gå rigtigt galt hos en US cloududbyder som skal overholde europædisk lovgivning - men uden at forstå lovgivningen.

Hvorfor laver danske kommuner og regioner ikke bare deres egen Cloud? For det koster også penge, når man hele tiden skal lave teknikken i cloudløsningen om (udover hvad den service som ændringer i dansk lovgivning forskriver).

3
7. marts kl. 08:07

Hos Københavns Kommune krydser man fingre for, at nogen har tryllet med juraen, for uden en aftale, kan det komme til at koste mere end 13,1 millioner kroner:

Tja, sure penge, men regel nr. 1 i en stor cloud-migration er: hav en plan B. Hele Cloud-eventyret var lige netop det: et eventyr. En rejse i ukendt terræn, uden at vide (læs: uden at have deepdivet og gennemforsket hele cloud-teknologien og -sektoren, og uden at have syndelig meget erfaring på området qua teknologiens unge alder), hvad der venter en. Hele satsningen på cloud-teknologien var et eventyr, og et der for mange ikke blev anerkendt for at være dette, og man blåøjet er gået ind med en forventning om at dette generelt over hele banen inden for kort tid tager over hosting-markedet. Det er godt nok et heftigt sats, forbundet med aldeles risici. Det er indlysende, at man har en plan B, hvis man indgår så risikabelt et eventyr.

»Der er dels igangværende projekter, der i lighed med cloud-projektet har måtte standse eller omlægge sine aktiviteter samt planlagte projekter, som er standset. Hvis eksisterende idriftsatte løsninger skal omlægges, er det vurderingen, det vil kræve meget store investeringer i både projektudgifter og infrastruktur.«

Planlagte projekter er vel inden for almindelig forretningsrisiko og normal for en virksomhed. Man planlægger en masse, men ikke altid bærer det frugter. Store risikable projekter har imidlertidig man altid en plan b, c og d, og en exit plan til. Og så ser man selvfølgelig til at man laver en ordentlig risikovurdering, gerne så udtømmende som muligt, hvis så store finansielle poster er på spil. Men, jeg fornemmer ikke, at der er blevet taget kritisk stilling til, hvor vidt det er en god ide at sætte alt på én hest og være med på den hype-bølge som ny teknologi altid fører med dig. Én hest, forstået som: én teknologi (cloud), og én udbyder (af mange udbydere fra ét og samme land).

2
7. marts kl. 07:35

Københavnske politikere burde måske også komme på banen og tage stilling til, om man vil tage den økonomiske risiko, at man om nogle år kan risikere, at en cloudløsning i USA skal flyttes til en ny løsning i Europa. Et er, at man tager chancen for, at man kan lave en holdbar aftale, der tilsidesætter amerikansk lovgivning (!), men i det mindste bør politikere gøre det med åbne øjne, så man ikke skal blive overrasket, hvis penge, der skulle gå til skoler og svømmehaller, i stedet skal bruges til at omprogrammere fra services hos AWS eller Azure til en europæisk udbyder.

1
7. marts kl. 07:11

Københavns Kommune siger det bliver dyrt, hvis der ikke bliver 'tryllet' med juraen, så de kan bruge en US cloud provider. Ja, det offentlige vil gå langt for at trylle.... En ting er, at det pt er ulovligt at brug US cloud, men det ville sørme også være relevant for kommunen at opføre sig dataetisk. Derfor burde kommunen - lige som den har droppet Google Analytics - droppe kinesiske og amerikanske cloudtjenester og bruge fx europæiske. jo flere af os, der bruger cloud-tjenester med juridisk hovedsæde i Europa, des bedre og større bliver de. og det offentlige bør gå forrest og vælge europæiske virksomheder når det er muligt. her er en guide til nogle af de europæiske tjenester kortlink.dk/2ezyy