Da den nye cloud-vejledning fra Datatilsynet landede i marts, fik den det kommunale it-fællesskab KOMBIT til tasterne.
Det længe ventede dokument skal hjælpe myndigheder og virksomheder med at finde hoved og hale i det cloud-kaos, der opstod i 2020, da EU-domstolen stemplede USA som et usikkert sted for europæiske persondata. Men vejledningens bemærkninger relateret til utilsigtede og tilsigtede dataoverførsler til usikre tredjelande - herunder USA -har fanget KOMBIT’s opmærksomhed i sådan en grad, at man har set sig nødsaget til at stille opklarende spørgsmål til tilsynet.
Svaret er nu kommet, og det falder ikke ud til KOMBIT’s fordel.
I sit spørgsmål til tilsynet vil KOMBIT nemlig have at vide, om overførsel af persondata til et tredjeland nogensinde kan karakteriseres som utilsigtet, hvis der i standardkontrakten med en leverandør er angivet nogle undtagelser, hvor den slags overførsler kan finde sted.
For KOMBIT er det punkt særligt relevant, da man gennem sin aftale med Netcompany om Aula-platformen benytter sig af den amerikanske cloud-leverandør AWS. Her har man arbejdet på, at al data skal bevares i EU, men i standardkontrakten med AWS fremgår det, at der er to undtagelser:
- Hvis det er nødvendigt for levering af visse specifikke AWS services valgt af servicebrugeren.
- Hvis det er nødvendigt for at overholde lovgivning eller bindende myndigheds anmodninger.
Det ømme punkt
Hos Datatilsynet vurderer man nemlig ikke, at det kan karakteriseres som en utilsigtet overførsel til et tredjeland, hvis det står i aftalen med leverandøren, at data kan komme uden for EU, hvis en muyndighed i det usikre tredjeland kræver data udleveret. Også selvom data ellers er sat til at skulle behandles i europæiske datacentre.
Netop denne problemstilling har været omdrejningspunktet for striden om Schrems-II, da USA’s myndigheder med henvisning til den amerikanske overvågningslov kan tvinge virksomheder som AWS til at udlevere data.
»Kort sagt vil der i Datatilsynets øjne være tale om en tilsigtet tredjelandsoverførsel. Derfor skal kommunerne sikre sig, at reglerne om overførsler til tredjelande overholdes, når eller hvis AWS foretager sådanne overførsler i henhold til den instruks, der fremgår af databehandleraftalen,« lyder det i svaret fra tilsynet.
Med andre ord, når undtagelsen er specificeret i databehandlingskontrakten, så vil det være en tilsigtet overførsel og dermed også for kommunerne være i strid med GDPR. For at det skal være en utilsigtet overførsel, skal det ske i strid med de betingelser og eventuelle undtagelser, der er tegnet i databehandleraftalen.
KOMBIT - og dermed andre myndigheder og firmaer, der bruger AWS eller lignende tjeneter - kan altså ikke gemme sig bag, at man ellers i videst mulig udstrækning har forsøgt at sikre sig mod overførsler, for eksempel ved at kræve, at data bliver bevaret i EU.
Hos KOMBIT ønsker man ikke at kommentere på svaret fra Datatilsynet, og henviser til, at man nu går i dialog med både tilsynet og kommunerne for at finde en løsning på problemstillingen.
For KOMBIT rammer dette særlig hårdt, da selskabet i sin tid valgte AWS-løsningen, efter det blev vurderet, at AWS var bedre gearet til at kunne varetage persondata, så det ikke var i strid med GDPR-forordningen.
Således fravalgte man efter Schrems-II-dommen at indgå nye kontrakter, hvor Microsoft var databehandler, fordi Netcompany og KOMBIT ikke mente, at it-koncernen i tilstrækkelig grad kunne garantere for, at data ikke ville ryge til USA eller andre tredjelande.
Kollektiv hovedpine
Som Version2 løbende har afdækket siden sommeren 2020, har Schrems II-dommen givet it-organisationer over hele Europa mere end almindeligt travlt. De amerikanske cloud-løsninger bruges overalt, og mange steder har myndigheder og virksomheder brugt betydelige ressourcer på at afklare, om deres sky-setup pludselig er ulovligt.
Samtidig har mange svært ved at se alternativerne, og derfor håber mange, at EU og USA snart lander en ny aftale, der skal gøre det let og lovligt at sender europæeres persondata til amerikanske virksomheder.
»Det at skifte it-systemer er ikke bare ligetil. Det har store økonomiske og administrative konsekvenser, for hvis det bare var lige som at knipse med fingrene, og der var alternativer, som var lige så gode og lige så billige, så have alle jo gjort det. Det her bøvl er ingen interesseret i,« sagde Pernille Jørgensen, chefkonsulent i centeret for Digitalisering og Teknologi hos KL for nyligt om kommunernes frygt for at skulle smide AWS og de andre amerikanere på porten.
Du kan finde hele Version2s dækning af Schrems II-sagen her.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
