Forrige fredag udbrød der en jubel i kontorlandskabet hos Kommunernes Landsforening (KL), for medarbejderne havde lige fået en glædelig nyheds fra Bruxelles.
Ursula von der Leyen, formand for EU-Kommissionen, havde været ude og sige, at EU er kommet i mål med en principiel aftale om persondataoverførsler til USA, og den besked har kommunerne ventet meget længe på at få.
Det fortæller Pernille Jørgensen, der er chefkonsulent for Digitalisering og Teknologi hos KL:
»Vi har råbt højt hurra herinde. Det er ikke nogen hemmelighed, for det er en kæmpe, kæmpe lettelse.«
Lige siden EU-Domstolen ugyldiggjorde overførselsgrundlaget Privacy Shield med Schrems II-dommen i sommeren 2020, har kommunerne nemlig døjet med, hvordan de kan sende borgeres persondata lovligt til USA. En nødvendighed for at bruge amerikanske cloud-produkter.
Uden Privacy Shield må kommunerne - ligesom alle andre - i stedet bruge EUs standardkontrakter for at kunne fortsætte med eksempelvis at bruge Microsofts og Googles tjenester. Men ligesom mange andre dataansvarlige har kommunerne haft problemer med at etablere det sikkerhedsniveau, der skal til for at sikre en lovlig overførsel, ifølge Pernille Jørgensen.
Derfor ser KL nu frem til, at Schrems II-problemet snart er ude af verden, uddyber hun:
»Når den så er skrevet, har man jo et overførselsgrundlag, der gør, at USA umiddelbart er et sikkert tredjeland at overføre data til. Og så er problemerne løst.«
Glad for amerikansk cloud
Amerikanske tjenester er udbredt hos kommunerne, og det er især de store tech-giganter, som kan levere en funktionalitet, man er glad for i det offentlige, fortæller Pernille Jørgensen:
»Det er især på cloud, hvor vi har Google, Microsoft og Amazon. Så er der Facebook, som socialt medie. Men alle de store er jo amerikanske, og nærmest alle kommuner bruger jo Microsoft, hvor der også er overførsler til USA. Der har været en diskussion om, hvorvidt det kun er på support. Men selv hvis det kun er på supporten, og selv hvis det kun er på supporten i særlige situationer, så er der også – rent juridisk – tale om overførsler.«
Men lige nu må dataansvarlige – inklusive kommunerne – som hovedregel ikke bruge tjenester, der kræver ukrypterede persondataoverførsler til USA. Det fortalte Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet, til Version2 for nylig.
»Derfor er der bare rigtig, rigtig svært at komme uden om den her problematik, fordi det er en stor mængde af kommunernes leverandører, der befinder sig i USA. Kommunerne vil ikke lige kunne gå ud og finde alternativer til Microsoft 365, bare for at tage et eksempel,« fortæller Pernille Jørgensen og understreger:
»Det er derfor KL hele tiden har sagt, at det her er der simpelthen nogen, der må gøre noget ved på vegne af os alle sammen. Den her problematik gælder ikke kun de danske kommuner. Det er også danske virksomheder, og det er i virkeligheden hele Europa, der har den samme problemstilling på grund af den her dom.«
Gør ingen forskel endnu
I KL har man sat sin lid til EU-Kommissionen, der lige siden Schrems II-dommen har fortalt i flere pressemeddelelser, at man arbejder hårdt på at nå i mål med en ny aftale, ifølge chefkonsulenten.
Interesseorganisationen har sammen med landets 98 kommuner været i venteposition i snart to år, og derfor mener hun, det var helt naturligt, at man fejrede udmeldingen i fredags.
Men imens KL råber ‘hurra’ er andre stadig forsigtige med at erklære aftalen for en succes for danske dataansvarlige. I sidste uge fortalte tre eksperter i persondataret, at udmeldingen fra Ursula von der Leyen reelt ikke har nogen som helst betydning for danske organisationer endnu.
»Det her er alene et politisk statement og en politisk velvilje til at blive enige, men det er ikke noget, der gør nogen forskel for danske dataansvarlige her og nu,« fortalte Henning Mortensen, formand for Rådet for Digital Sikkerhed, til Version2 og blev bakket op af Allan Frank.
Pernille Jørgensen erkender også, at en praktiske løsning først kommer til kommunerne, når Kommissionen har fået skrevet aftalen ned.
Eksperterne siger, at udmeldingen lige nu ikke har betydning for danske dataansvarlige. Så hvorfor mener KL så, at den her udmelding kan løse kommunernes udfordringer med Schrems II?
»Aftalen er jo ikke på plads endnu. Vi har ikke set noget på skrift. Den amerikanske præsident og von der Leyen har været ude og sige, at de har fået hegnet principperne for en ny aftale ind. Jeg formoder, det er derfor, at både Henning Mortensen og Allan Frank siger, som de siger,« understreger chefkonsulenten.
Stoler på kommissionen
Næste skridt er, at Kommissionen skal nedskrive den principielle aftale, man har givet hånd på med USA. Og hvis privacy-aktivisten Max Schrems anfægter aftalen, som han lægger op til i en pressemeddelelse, så skal den forbi EU-Domstolen.
Det var her, det gik galt med Privacy Shield og forgængeren, Safe Harbor, som han også klagede over. Ifølge Domstolen var aftalerne ikke forenelige med GDPR, og derfor blev de revet midt over.
Den seneste udmelding bliver parternes tredje forsøg på at overbevise dommeren om, at man nu har fundet en løsning, der overholder EU-lovgivningen. Men den amerikanske lovgivning, som giver efterretningstjenester ret til at snage i personoplysninger, lever stadig.
Og hvis ikke USA ændrer sin lov, ser det meget vanskeligt ud for aftalens overlevelsesmuligheder ved EU-Domstolen, fortalte Henrik Udsen, professor i persondataret ved Københavns Universitet, til Version2 for nylig.
Ifølge Henrik Udsen ser det vanskeligt ud i forhold til at aftalen kan accepteres af EU-Domstolen, hvis ikke USA ændrer sin lovgivning. Er det ikke lidt for tidligt at fejre hos KL og kommunerne?
»De her ting ved EU-Kommissionen udmærket godt. De har fået deres overførselsgrundlag gennemundersøgt af EU-Domstolen to gange. De kender den her risiko. Derfor har vi også en forventning om, at de laver deres benarbejde bedre den her gang,« understreger Pernille Jørgensen og tilføjer:
»Jeg tænker bare, at von der Leyen vil jo ikke stå og sige: ‘Nu har vi skitsen for en ny aftale på plads,’ hvis det ikke passer. Jeg kan ikke forestille mig, at man med bind for øjnene fra EU-Kommissionens side vil indgå sådan en aftale med USA, hvis man mener, den ikke kan holde. Vi har da helt klart en forventning om, at man finder en vej ind i det her juridisk. For ellers går man vel ikke ud fra EU-Kommissionens side og siger, at nu har man fundet et overførselsgrundlag. Der er jo ikke nogen grund til at dømme sig selv ude fra start.«
Men de har jo gjort det en gang før.
»Ja. Men fra KL’s side vælger vi at stole på Kommissionen. Vi lytter til, at der kommer en melding om, at nu har man fundet en løsning. Man er blevet enige om de store linjer i en ny aftale. Så råber vi hurra, for det er en aftale, vi har ventet på og glædet os rigtig meget til.«
»Det er i alles interesse, at den her aftale kommer på plads, og derfor regner vi også med, at der må være noget fleksibilitet fra USA’s side, for de er jo også voldsomt økonomisk interesserede i at have sådan et overførselsgrundlag.«
Ingen detaljer
Der er endnu ikke sluppet mange detaljer ud om aftalen, og derfor er det ikke til at vide, hvilke juridiske smuthuller juristerne i Kommissionen og USAs Federal Trade Commission har fundet frem.
På trods af det, giver meldingen fra kommissionsformanden håb for kommunerne om, at en af de største GDPR-problematikker snart kan blive fortid.
»Vi er rigtig, rigtig glade for at få en melding om, at det har man altså forhandlet på plads. Om den så holder juridisk, det kan man have mange spekulationer om. Det kan selvfølgelig blive vores alle sammens hovedpine, men det ville da være virkelig uhensigtsmæssigt fra Kommissionens side bare at hoppe ud i en ny aftale og så skrive nøjagtigt det samme, som der hele tiden har stået.«

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.