Kommunaldirektør frustreret over AWS-nøl med Aula: »Det her er ikke godt nok«

Nu siger jeg noget helt vildt! Hvad med at lukke ned for Aula, så længe Aula ikke overholder lovgivningen!!! Tænker folkeskolen fungerede i små 200 år uden, så mon ikke det muligt at den kan kører videre i måneder eller et par år, indtil der findes en løsning.

Søforklaringer som denne viser netop hvorfor vi SKAL have noget mere IT undervisning i folkeskolen (inkl. introduktion til Kemi etc.) - så ALLE forstår hvordan disse for vores samfund vigtige ting virker på "et højere abstraktionsniveau" - nok til f.ex. at kunne kalde "bullshit" på en forklaring om at man var bundet til AWS. Det ENESTE spørgsmål er hvor meget der evt. anvender deres proprietære api'er og hvad det tager, at flytte til en open source løsning for de stumper, der IKKE kun understøtter AWS - hvis de har den slags bindinger et eller andet sted (men det vil i såfald være uden for aula selv - for den snakker ikke med AWS API'er for at virke - så det er højst udrulning af aula services der er bygget op imod AWS)

Aula er på INGEN måde bundet til AWS - det er noget værre vrøvl. Hvis nu version2 kan få nogle konkrete forklaringer om hvordan aula services kører (i docker, på vm/ec2 instans eller ?) så kan det hurtigt afklares. Uanset hvordan så er det IKKE vildt svært at opdatere ens produktionssetup så det istedet kører på Kubernetes - som er den mest udbredte metode til at operere produktionsservices, på en "HybridCloud" - aka. vendor-independant metode - der kan køre hvor som helst Kubernetes kan køre (dvs. i alle clouds og egen/lejet servere)

Man formoder vel at man hurtigt kan skifte til anden udbyder, især når der var advaret mod det valg fra rigtigt mange sidder.

Hvis man ellers opfylder de gode råd fra Datatilsynet, skulle det ikke tage langt tid ? Eller betragter man dem stadigt som et gummistempel, som ikke har magt til at få kommuner til at rette ind.

https://www.version2.dk/artikel/datatilsynet-advarer-cloud-kunder-det-er-vigtigt-man-har-en-exitstrategi

Jeg synes det burde være en no-brainer: Hvis man ikke har bygget Aula, så det kan hostes i en (Amerikansk) offentlig sky uden at være i strid med GDPR, så må man opbygge en lokal sky, der ikke har samme juridiske problemer.

Er der noget der forhindrer, at man laver en "privat" sky, der er AWS kompatibel?

Så er der selvfølgelig det med prisen, men kan man sætte et prisloft for at overholde lovgivningen? I så fald, hvor dyr skal en lovgivning være for mig, for at jeg må tilsidesætte den?

Jeg synes forløbet bærer præg af, at man har stolet for meget på løfter om en arvtager for privacy shield og safe harbor aftalerne, på trods af at grundlaget er inkompatible love i EU og USA, og at ingen af parterne har vist vilje til at ændre denne lovgivning.

Jeg er krænket over at der ikke er nogen i Ballerup kommune der tog min kommentar om at AULA ikke var/ville blive GDPR compliant så længde at løsningen blev implementeret på AWS.

Der er desværre ikke mange der planlægger efter hvad man gør hvis en kontrakt skal opsiges eller om man kan løfte det juridisk i tilfælde af overtrædelser.

I forhold til AWS så er det bare inkompetent at man ikke har en exit strategi. I risikovurderingen, som jeg antager at et sådan system har, burde dette fremstå som en stor risiko.

Mon ikke de største forskel er, hvordan den Amerikanske efterretningstjeneste har adgang til data. Selv hvis de lå på danske servers, så tyder al historik på at de bare kunne bede den danske regering om data, og få det...

"Kommunaldirektøren mener, at det er umuligt for Kombit og kommunerne at gøre andet end at vente på svaret for tredje gang fra AWS."

"Eik Møller mener, at man i højere grad bør rette kritikken mod det private erhvervsliv, der også har en del af ansvaret."

Er kommunerne direkte tvunget af lovgivningen til at anvende Aula? Er det være ulovligt, hvis en kommuner fravælger Aula?

Har kommunerne ikke selv ansvaret for at sikre, at de systemer, de vælger, overholder loven? Har kommunerne/Kombit ikke selv vagt at acceptere en vis "procesrisiko" for, at Aula ikke kunne overholde GDPR?

"»Selv hvis Kombit sætter AWS stolen for døren, så kan de dybest set ikke smide dem ud for der er ikke et brugbart alternativ til Aula. Man kan diskutere om, der i virkeligheden bare er opstået nye private monopoler på samme måde, som vi tidligere havde offentlige monopoler med for eksempel KMD.«"

Det behøver man da ikke diskutere - det er jo tydeligvis sket. Men det skulle I/Kombit/KL have tænkt over, inden I - på trods af utallige advarsler, så vidt jeg husker - bandt jer til tech-giganterne.

"Man kan vel finde en anden leverandør, der ikke befinder sig i USA? »Nok ikke nogen, som har udviklet en platform som kan alt det, som Aula skal kunne og som kan implementeres på tre måneder uden ekstra omkostninger for kommunerne. Jeg har ikke kendskab til nogen, der ville kunne det,« siger Eik Møller."

Men så må I jo undværede de funktioner - indtil for få år siden kunne folkeskolen jo faktisk godt køre uden dem, ikke? Eller betale, hvad det koster at overholde loven. I kan ikke sige, at I ikke er blevet advaret i årevis, så at I ikke er klar, er jeres egen fejl.

Hvem har ansvaret for business-casen for Aula? Og hvordan lyder den?