KL om afsked med amerikansk cloud: »Det har store økonomiske og administrative konsekvenser«

6. april kl. 03:4514
Illustration med det amerikanske flag, en sky og stjernerne i det europæiske flag.
Illustration: Nanna Skytte.
Det offentlige venter på en ny data-aftale mellem EU og USA, der skal redde amerikansk cloud hos kommunerne. Og så længe EU-Kommissionen fortsat arbejder på forhandlingerne, vil man ikke skifte tech-giganternes tjenester ud lige foreløbigt.
Artiklen er ældre end 30 dage

Lige siden EU-Domstolen ugyldiggjorde overførselsgrundlaget Privacy Shield i sommeren 2020, har danske kommuner været alvorligt i tvivl om, hvorvidt centrale dele af deres it-infrastruktur er ulovlig.

Det gælder Især for tech-giganternes cloud, som er udbredt i det offentlige, fortæller Pernille Jørgensen, chefkonsulent i centeret for Digitalisering og Teknologi hos Kommunernes Landsforening (KL).

Der er flere eksempler på, at kommuner ikke kan finde lovlige måder at overføre på. Men det er ikke realistisk at skifte Microsoft, Google og de andre store leverandører ud lige nu, ifølge chefkonsulenten:

»Det er jo voldsomme beløb, vi taler om i bare Danmark, hvis det offentlige skal skifte de systemer ud. Det er desuden en kæmpemæssig administrativ og ressourcetung opgave, og det er derfor, vi glæder os meget til, at problemet bliver løst med en ny aftale mellem EU og USA.«

Artiklen fortsætter efter annoncen

»Det handler om hele setuppet. Det er nogle gode løsninger, og vi kan ikke skifte dem fra den ene dag til den anden. Vi er i limbo, hvor vi afventer, at der kommer et nyt overførselsgrundlag,« understreger hun.

Læs også: Sjusk med skolebørns data i Google: Kommune får alvorlig kritik af Datatilsynet

Læs også: EU-dom har lammet kæmpe cloud-omstilling i Københavns Kommune

Pernille Jørgensen
Illustration: Pernille Jørgensen.

Kommuner må forhandle med leverandøren

Kommunerne bruger typisk EUs standardkontrakter som overførselsgrundlag. Men efter Schrems II-dommen er det ikke længere tilstrækkeligt uden supplerende foranstaltninger, fortæller Pernille Jørgensen. Men det er en svær opgave for kommunerne at løfte.

Samtidig vil de meget gerne fortsætte med at bruge de amerikanske tjenester – eksempelvis Helsingør og en flere andre kommuner, som benytter Googles computere ‘Chromebooks’ med tjenesten ‘Workspace for Education’ i folkeskolerne.

»Det går ind i rigtig mange kommunale områder. Det gælder også, når man eksempelvis bruger Teams-løsningen til at holde videomøder,« fortæller Pernille Jørgensen.

Derfor må kommunerne i gang med at forhandle databehandleraftalen med deres leverandører for at sikre en lovlig overførsel:

»Man kan operere i et setup, hvor man sørger for at have en aftale med sin leverandør om, at data befinder sig inden for EUs grænser. Og man skal lave en risikovurdering og få skrevet ind i aftalen, at leverandøren skal love ikke at udlevere de her data.«

»Det er det, man kan gøre lige nu medmindre, man vil sætte hele verden i stå.«

Skift har store konsekvenser

Selvom der i nogle tilfælde findes europæiske alternativer til de amerikanske løsninger, så er de ikke altid gode, ifølge chefkonsulenten.

»Man kan godt være heldig, at der findes andre tilsvarende løsninger, men de er langt fra altid lige så gode, ligeså sømløse og ligeså intuitive. Det betyder så bare, at den digitale omstilling, vi også gerne vil understøtte, bliver besværliggjort af det her.«

»Man tvinger kommunerne til, i mange tilfælde, at operere med nogle dårligere løsninger, hvis ikke man må bruge de her amerikanske leverandører.«

Ikke nok med, at kvaliteten falder, så kommer det også til at koste enorme beløb for det offentlige, hvis kommunerne skal til at skifte tjenesterne fra USA ud:

»Kommunerne har jo typisk kontrakter med de her leverandører, som varer flere år, hvor de er økonomisk bundet. Hvis de skal træde ud af dem, så koster det,« fortæller Pernille Jørgensen og uddyber:

»Det at skifte it-systemer er ikke bare ligetil. Det har store økonomiske og administrative konsekvenser, for hvis det bare var lige som at knipse med fingrene, og der var alternativer, som var lige så gode og lige så billige, så have alle jo gjort det. Det her bøvl er ingen interesseret i.«

Venter på ny data-aftale

Imens kommunerne sveder over, hvordan de skal leve op til GDPRs krav, venter de på, at EU-Kommissionen løser problemet.

Og det ser ud til, at der er et nyt overførselsgrundlag på vej.

Ursula von der Leyen, formand for EU-Kommissionen, var i slutningen af marts ude med en melding om, at man er blevet enige om en ny data-aftale med USA. Det gav anledning til stor jubel hos KL, fortalte Pernille Jørgensen tidligere på ugen til Version2.

»Vi har lyttet til det, når der kom meldinger fra EU-Kommissionen om, at der bliver arbejdet intensivt på en ny aftale, og vi har så hele tiden håbet, at nu kommer der nok snart noget. For hvis man skal have alle kommunerne til at opsige alle deres aftaler med alle deres leverandører – det er jo en kæmpe proces, man sætter i gang. Det er voldsomt mange ressourcer, og det er rigtig, rigtig dyrt,« understreger hun.

Hvis ikke Kommissionen løbende havde forsikret de europæiske dataansvarlige om, at der bliver arbejdet på højtryk for at få en ny aftale i hus, havde kommunerne for længst måtte indrette sig på at skifte US-cloud ud, uddyber hun.

»Det letteste ville være bare at skifte til en anden, lige så god leverandør, hvis det bare var ‘a piece of cake’, men det er det bare ikke. Det er voldsomt dyrt, og det er voldsomt besværligt, og det er derfor, vi sætter vores lid til, at Kommissionen faktisk har fundet en løsning. Det håber vi meget, Kommissionen får succes med den her gang.«

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
19
7. april kl. 12:35

Fra interview med Pernille Jørgensen i 2015:"Som konsekvens af ovenstående - og af, at der stadig er uvished om, hvordan Persondataforordningen lander - mener Pernille Jørgensen, at der ingen grund er til at lytte alt for meget til advokater og andre rådgivere, som mener, der skal forberedes og handles nu: »Det bør kommunerne være opmærksomme på, når de bliver præsenteret for diverse kursustilbud om de nye regler i persondataforordningen. Og så skal vi jo heller ikke glemme, at fra forordningen er vedtaget – forventeligt primo 2016 – går der to år, før kommunerne skal have implementeret de nye regler. Så der ikke nogen grund til at piske en stemning op,« siger chefkonsulent Pernille Jørgensen, KL, som lige nu ser lidt for mange kurser, som vil undervise kommunerne i regler, som de endnu ikke kender udformningen af."https://www.version2.dk/artikel/kl-om-ny-persondataforordning-en-papirtiger-og-spild-af-penge

Hvor ironisk er det ikke lige, at den indædte privacy-modstander endte med at blive ydmyget af sine egne digitale fodspor. Godt fundet.

18
6. april kl. 19:00

»Man tvinger kommunerne til, i mange tilfælde, at operere med nogle dårligere løsninger, hvis ikke man må bruge de her amerikanske leverandører.« !?!

Hvor graver den slag mennesker op henne? De burde vende sig om og kigge ud af grotten. (sagde han vist engang)

Som Pierre Chastanet, EU kommissionens chef for cloud og software, bliver citeret for så smukt i V2 artiklen fra i dag: »Vi har en åben men selvsikker tilgang til den digitale transformation. Vi vil udvikle europæiske kapaciteter og en hvis grad af autonomi med nøgleteknologier, men samtidig siger vi velkommen til aktører fra hele verden, hvis de altså overholder europæisk lovgivning

Så: den digitale omstilling som Pernille Jørgensen taler om her, er ikke ensbetydende med at vi bare skal kaste os ind i hvilken som helst cloud eller tech-giganters hænder. Vi behøver ikke acceptere at alle tech-giganter kommer fra USA, og vi ikke kan udkonkurrere dem.

11
6. april kl. 11:57

Lad os nu kalde en spade for en spade. Det forholder sig faktuelt således: Man har mellem USA og EU til hensigt at aftale at lave en aftale. En aftale der i øvrigt fortsat ikke kan tilsidesætte, at der er national lov i USA der har forrang (Lov om at efterretningstjenesterne kan kigge med), så det bedste ville være at USA lavede deres egen nationale love om, for så ville alle andre aftalemuligheder falde på plads, men det syner at USA ikke har til hensigt at ændre love så radikalt, men blot udarbejder endnu et "letter of intend" efter Safe Harbour, Privacy Shield, gik på gulvet og det kan EU ikke bruge som sikkert underlag når USA har national lov der overruler.

Amerikanske love og regler der indvirker på EU Clouding på amerikansk ejet udstyr: CLOUD Act "The CLOUD Act allows the U.S. to enter into bilateral agreements with foreign countries for mutual access to data for the investigation and prosecution of serious crimes. The agreement must meet certain baseline requirements: (1) The retrieval of data is targeted to specific accounts, address or persons (no bulk collection); (2) these actions are subject to review or oversight by a judge, magistrate or independent authority; (3) the retrieval of data must have “articulable and credible facts”; and (4) the data must be in the “possession, custody, or control of the provider.” The U.S. can only enter into these agreements with countries that respect and abide by basic human rights obligations.

Article 48 of the EU General Data Protection Regulation restricts the transfer of data to non-EU authorities unless it is based on, for instance, a Mutual Legal Assistance Treaty. Moreover, Article 6 and Article 49 allow for the processing of data for public interest purposes. The European Data Protection Board has raised some doubts as to whether the CLOUD Act promotes mutual privacy safeguards for the treatment of data. It, therefore, becomes crucial to assess the CLOUD Act and whether it satisfies a future adequacy determination under the GDPR."

RULE 41 “Rule 41, titled Search and Seizure, is a rule in the Federal Rules of Criminal Procedure. In 2016 an amendment allowed judges to issue warrants allowing the FBI and other federal law enforcement agencies to use remote access tools to access computers outside the jurisdiction in which the warrant was granted”

10
6. april kl. 11:14

Der var heller ikke noget galt med russisk gas og olie indtil for to måneder siden...

Man er skal have en exit plan uanset hvor man har sit lort kørende - eneste undtagelse reelt set er at have det kørende selv.

7
6. april kl. 10:23

Hvis ikke der er noget lovgrundlag, bør men som offentlig myndighed straks stoppe den ulovlige praksis, det kaldes ansvarlighed. Havde man lavet en god risikovurdering, havde man holdt alle person-henførbare-data "in house" og ikke stolet på nogen cloud løsning, det er fint at en leverandør levere et system, men et sådanne må ikke kunne kommunikere ud af netværket hos myndigheden, eksponering kun via krypterede forbindelser og må kun indeholde oplysninger om enkeltstående borgere en ad gangen pr. forbindelse. Alt andet er sikkerhedsmessigt uforsvarligt, og det kan man ikke tillade sig som myndighed at være, borgerne skal kunne have tillid til at det Danske samfund behandler deres oplysninger med respekt.

8
6. april kl. 10:25

Undskyld for SPAM, Udgiv knappen virkede ikke rigtigt...

4
6. april kl. 09:19

Man kunne også se det som en spareøvelse ifht. at blive uafhængige leverandører og det hele taget stille krav til at en leverandør skal kunne udskiftes uden større bøvl for brugerne.

Grundlæggende laver man i dag to type af IT indkøb. Dem hvor man har accepteret at der er et monopol (Google, Microsoft, SAP, mm.) og hvor IT ansatte, konsulenter og ikke mindst brugernes "intuition" er blevet tunet ind på specifikke produkter. Her betaler man bare ved kasse 1.

I den anden ende har vi skradersygede løsninger som udbydes med jævne mellemrum, hvorefter de skifter fuldstændig karakter og koster oceaner af tid og penge for samfundet (mit.dk, mitID og alle umulige mindre systemer i de forskellige organisationer).

CERN har mærket på egen krop når Microsoft vil tjene penge. Derfor satte de et projekt mo alternativer i gang. Om ikke andet så har de mere åbne øjne og Microsoft blev lettere at forhandle med:

http://cds.cern.ch/record/2800622/files/MALT%20Report%20-%20Final%20-%20Public.pdf

3
6. april kl. 08:53

Så man har ikke fulgt loven... og nu vil man så ikke stå ved sit ansvar, og så er det bedre bare at lukke øjnene og vente på at fatamoganaer bliver til virkelighed ? Måske er der nogle ilsjæle, der kunne synes det var interresandt at se nogle af de risikovurderinger og konsekvensanalyser, der ligger til grund for KL medlemmers brug af disse services.

// Jesper

2
6. april kl. 08:28

Fra interview med Pernille Jørgensen i 2015:"Som konsekvens af ovenstående - og af, at der stadig er uvished om, hvordan Persondataforordningen lander - mener Pernille Jørgensen, at der ingen grund er til at lytte alt for meget til advokater og andre rådgivere, som mener, der skal forberedes og handles nu: »Det bør kommunerne være opmærksomme på, når de bliver præsenteret for diverse kursustilbud om de nye regler i persondataforordningen. Og så skal vi jo heller ikke glemme, at fra forordningen er vedtaget – forventeligt primo 2016 – går der to år, før kommunerne skal have implementeret de nye regler. Så der ikke nogen grund til at piske en stemning op,« siger chefkonsulent Pernille Jørgensen, KL, som lige nu ser lidt for mange kurser, som vil undervise kommunerne i regler, som de endnu ikke kender udformningen af."https://www.version2.dk/artikel/kl-om-ny-persondataforordning-en-papirtiger-og-spild-af-penge

Så Pernille Jørgensen har i den grad private ansvarskartofler at hyppe i denne sammenhæng. Hun har selv i årevis talt imod, at kommunerne skulle forberede sig på GDPR, og meget af den ulykke, som hun i ovenstående interview beskriver vil ramme os, hvis vi ikke makker ret, og tilpasser menneskerettigheder til tech-gigant-interesser, er hun selv skyld i med sin dårlige og tech-gigant-påvirkede rådgivning.

Som det ses, har kommuner og KL haft mange år til at tilpasse sig realiteterne - de vil bare ikke. Så hvad har Pernille Jørgensen kostet landet? Det er ikke menneskerettighederne, som er alt for dyre, det er den elendige, tech-underdanige rådgivning, landet har været udsat for - bl.a., men med garanti ikke alene, fra Pernille Jørgensens side. Hun skylder os en undskyldning, for hun er en af dem, som har modarbejdet GDPR fra starten, så vidt jeg kan se. Jeg bliver harm, når jeg læser hendes bævl.

1
6. april kl. 07:06

"Og selvom der er flere eksempler på, at kommuner ikke kan finde lovlige måder at overføre på, er det ikke realistisk at skifte Microsoft, Google og de andre store leverandører ud lige nu, ifølge chefkonsulenten:..."

Det skulle I have tænkt på noget før, for det har ikke skortet på advarsler. I har bare hellere villet lytte til tech-lobbyisterne, spm lokker med spændende kurser og konferencer og svingdørskarrierer. KL er en af hovedskurkene i denne misere - det har længe agerest som Singularitys udsendte missionærer i Danmark. I har fortsat i årevis fortsat med at vikle kommuner og stat og regioner ind i løsninger, som I udmærket vidste ikke var i overensstemmelse med at sikre borgernes privatliv og med GDPR. I har I årevis satset på, at det nok - med god hjælp fra techbranchens juristlobbyister - skulle lykkes i sidste ende at få bøjet retten til privatliv til ukendelighed.

"Hvis ikke Kommissionen løbende havde forsikret de europæiske dataansvarlige om, at der bliver arbejdet på højtryk for at få en ny aftale i hus, havde kommunerne for længst måtte indrette sig på at skifte US-cloud ud, uddyber hun."

Minder mig om et andet kendt citat: "Der kommer en god løsning i morgen"...

Ja, menneskerettigheder koster, sådan er det det - men I - I!!!!!, dvs. alle jer konsulenter, som har været til fals for techbranchen - er skyld i, at hele vort offentlige væsen nu sejler i en sø af GDPR-mudder. I - I!!!- er skyld i, at det bliver mange, mange gange dyrere, end det havde behøvet at blive - fordi I stædigt er blevet ved med at lytte til lobbyisterne, i stedet for til mere ærlige og besindige, advarende, stemmer.

Hvor mange af de skyldige i dette morads var med på de mindst to ugelange luksusrejser til SiliconValley - Mekka - , som Rambøl arrangerede for et eller andet ministerium for nogle år siden? Sikkert ikke så få, og jeg ved, der var en del fra KL. Og hvad har det mon ikke kostet landet - ud over selve rejseprisen - at I kom fuldstændigt forførte og besnørede hjem, og ikke kunne komme hurtigt nok i gang med at udbrede Singularity Universitys drømme over landet?

*"»Man kan godt være heldig, at der findes andre tilsvarende løsninger, men de er langt fra altid lige så gode, ligeså sømløse og ligeså intuitive. Det betyder så bare, at den digitale omstilling, vi også gerne vil understøtte, bliver besværliggjort af det her.« »Man tvinger kommunerne til, i mange tilfælde, at operere med nogle dårligere løsninger, hvis ikke man må bruge de her amerikanske leverandører.«

Du har været på for mange spændende tech-konferencer (og rejser? ), Pernille Jørgensen. Du lyder jo som den værste, mest hjernevaskede tech-lobbyist her. Var du med på rejsen til SiliconValley, som en del andre KL-topfolk? Så du lyset? Og selv hvis du har ret, hvad så? Jeg gentager: Menneskerettigheder koster! Den digitale omstilling er for dyr, hvis den koster menneskerettigheder! Hvem er det, der har besluttet, at vi ikke kan få digitalisering nok, koste hvad det koste vil? Det skal jeg fortælle dig: Det har SiliconValleys lobbyister og guruerne i SingularityUniversity, som med stor succes har knopskudt i Danmark (Husker ikke lige, hvad deres udsendte underafdeling (ud over KL) hedder herhjemme, men den var ikke længe om ar fordreje hovederne på diverse beslutningstagere). Fru Olsen ser ikke nødvendigvis det gennemdigitaliserede samfund som paradis - det er ikke hende, der har udsigt til storslåede internationale svingdørskarrierer. Men hun har ikke noget at skulle have sagt.

Der er mange, der har ageret 5. kolonne for tech-giganterne herhjemme, og nu skal vi så til at betale prisen. For uanset hvor meget Pernille Jørgensen og andre lobbyerer for, at vi er nødt til at underlægge os tech-tyranniet, for ellers bliver det alt, alt for dyrt, så kommer der ikke nogen privatlivssikker løsning ud af det her, uanset hvad Von der Leyen siger. Der kommer højst et bøjet, misdannet, korrupt sæt privatlivskompromisser ud af det. Ganske som tech-giganterne hele tiden har satset på, og betalt milliarder til deres lobbyister og jurister for at sikre.

Fnys!

9
6. april kl. 10:44

Kan ikke være mere enig.

Pernille Jørgensen udtaler sig om ting, jeg betvivler, hun har meget forstand på. Eller så har hun bare meget lidt tilovers for dataetik. "Dårlige løsnigner", kalder hun de alternativer til tech-giganternes løsninger - jeg kan ikke se hvordan en ulovlig, menneskerettighedskrænkende eller i det mindste krænkende fundamentale borgerrettigheder, konkurrenceforvridende løsning skulle være bedre, blot fordi der er en masse lækre features. IT-delen af en vurdering bør vel afvejes med andre faktorer og ikke stå alene. Og sjovt at hun mener, at alternativer til tech-giganternes løsninger er dårlige, da de ikke giver det samme, koster det samme, osv... for kommuner har det med at sige "Vi har jo brug for disse it-løsninger, for at kunne følge den digitale omstilling" mens den private sektor siger "Vi har brug for disse it-løsninger, for at kunne konkurrere". Det er sjovt, fordi tech-giganter som sagt forvrider konkurrencen, sætter sig på et monopol, og så forbliver der. Prøv at åbne en cloud-forretning i EU. Så skal du nok finde ud af, at tech-giganterne ikke er dem, der muliggør konkurrence, men dem, der modarbejder det.

KL er simpelthen for langt ude her... "Ja vi venter lige med at rette ind, selvom vi åbenlyst har tilsidesat loven og brudt den, for måske kan vi fortsætte med at tilsidesætte privatlivshensyn. Vi er også i tvivl om det er ulovligt". Så lad mig da oplyse jer lidt: De løsninger I vælger er ulovlige, hvis I bruger tech-giganterne. Så burde der ikke være mere tvivl...

Hun står og siger, det ikke er realistisk at skifte tech-giganternes løsninger ud med alternativer, fordi det er dyrt og meget arbejde. Men jeg kan ikke se, hvordan det er en grund til ikke at gøre det? Skat er da også ret besværligt at forstå, men det gør jo ikke, at man bare kan tilsidesætte forpligtelserne. Privatliv er da langt vigtigere, end en digital omstilling... som vi i øvrigt blot gerne vil, altså "nice to have", og slet ikke er nødvendigt. Tyskland klarer sig fint uden alle mulige digitaliserede løsninger. Og de her "voldsomme beløb", som der skal betales for at skifte til alternativer, er det, som bare skal betales. For at betale med borgernes privatliv, er ikke den rette vej at gå.

Generelt synes jeg det her argument med den digitale omstilling er pinligt at sige foran "åben skærm". Den digitale omstilling sejler i DK, og vi har ikke skænket konsekvenserne af den digitale omstilling en tanke, før vi er gået i gang. Det er simpelthen for pinligt... Som om man har glemt hvad den manglende privatliv kan betyde for samfundet. Kig på Kina, kig på Nordkorea, kig på Rusland, kig på Tyskland før 1945, kig på alle de lande der var kommunistisk styret før 90erne, kig på USA lige efter 11.09.2001... privatliv er ikke uden grund nævnt i menneskerettighedskonventionen, FNs verdenserklæring, EUs fundamentale rettigheder, Grundloven, osv osv osv.

Digital omstilling vægter IKKE højere end privatlivshensyn.

Måske burde der være nogen, der melder nogle af de her kommuner, der sylter at tage konsekvenserne af Schrems-II dommen op, til Datatilsyn, eller måske burde en borger fra en af de kommuner, som åbenlyst ikke har taget Schrems-II dommen til sig, kræve erstatning af kommunen pga. privatlivskrænkelse. Ligesom Schrems har vundet sagen mod Facebook, og fik 500 € erstatning for at føle sig usikker om, hvem der ville få indblik i sine data. Helst med et gruppesøgsmål, så alle borgere kan få lidt erstatning. Så kan det hurtigt også løbe op i "voldsomme beløb".

21
8. april kl. 10:41

Måske burde der være nogen, der melder nogle af de her kommuner, der sylter at tage konsekvenserne af Schrems-II dommen op, til Datatilsyn, eller måske burde en borger fra en af de kommuner, som åbenlyst ikke har taget Schrems-II dommen til sig, kræve erstatning af kommunen pga. privatlivskrænkelse.

En anmeldelse til Datatilsynet tror jeg ikke der kommer noget som helst ud af. Det danske datatilsyn er en tandløs hest og de har i andre artikler her på stedet vist at de deler holdningerne, der bliver udtrykt af Pernille Jørgensen.