Medarbejdere i Region Syddanmark bruger softwareproduktet Microsoft 365, og den løsning er hostet on premise. Men det er snart fortid, for selvom de ansatte fortsat skal have adgang til software-pakken, planlægger regionen at rykke hele systemet i tech-gigantens sky.
»Vores forståelse er, at Microsoft på et tidspunkt vil udfase deres on premise-løsninger, hvorefter vi er nødt til at flytte flere af vores nuværende Microsoft produkter i skyen. Nu har vi sat det i gang for at have god tid til at flytte over, lave de analyser og det design, der skal til,« fortæller Mads Friborg, afdelingschef for planlægning i Regional IT i Region Syddanmark og medlems af projektets styregruppe. Han uddyber:
»Det handler også om, hvor udviklingen sker, og den sker blandt andet på 356 i skyen. Det er også for at kunne tilbyde vores klinikere og ansatte nogle tidssvarende løsninger.«
Selvom der stadig er nogle elementer af projektet, som styregruppen skal have på plads inden migreringen, har Region Syddanmark underskrevet en aftale med Microsoft – blandt andet på baggrund af en analyse udarbejder af regionen sidste år.
I rapporten, som hedder ‘Juridisk vurdering af M365 med fokus på cloud ud fra en informationssikkerhedsmæssig synsvinkel’, slår regionen fast, at det er sikkert at fortsætte cloud-migreringen, selvom det betyder, at regionen mister kontrol med data.
Ingen indflydelse på aftale med Microsoft
Regionens ambitioner om en cloud-migrering af Microsoft 365 omfatter fire applikationer: Azure-AD, One/Drive (Sharepoint), Exchange og Office. Rapporten viser, at der i One/Drive (Sharepoint) ligger patientoplysninger, som er følsomme personoplysninger.
På trods af, at der er tale om meget beskyttelsesværdige data, har regionen næsten ingen indflydelse på aftalen med Microsoft. I rapporten skriver man, at regionen hverken har mulighed for at påvirke »udformningen af produkterne, sikkerheden i produkterne eller aftalegrundlaget.«
»Aftalegrundlaget er komplekst og udarbejdet på forhånd af Microsoft. Indholdet er ikke til forhandling, hverken hovedaftalen, databehandleraftalen eller instruksen (sikkerhedsforanstaltninger) har regionen indflydelse på,« skriver man i rapporten og uddyber, at det er tvivlsomt, om vilkårene stemmer overens med GDPR.
GDPR kræver også, at den dataansvarlige (Region Syddanmark) skal føre tilsyn med sin databehandler (Microsoft). Men i rapporten står der, at regionen kun kan føre tilsyn ved at kigge i en revisionsrapport fra Microsoft, som kan være underlagt hemmeligholdelse. Derfor er regionen i tvivl om, hvorvidt det stemmer overens med GDPR.
Regionen påpeger også, at Microsofts vilkår kan gå ud over borgerens kontrol over data, da de efterlader ‘et betragteligt råderum’ for Microsoft. Ifølge vilkårene vil tech-giganten kun hjælpe en registrerede, hvis anmodningen ‘anses som værende rimelig’.
Cloud-problemer
Det er Region Syddanmark, der står til ansvar for medarbejdere og patienters databeskyttelse, når man bruger Microsofts sky. Men de sidste par år har det været besværligt for mange virksomheder og myndigheder at bruge amerikanske cloud-tjenester, efter den famøse Schrems II-afgørelse kom i sommeren 2020.
I oktober 2015 underkendte EU-Domstolen 'Safe Harbor'-aftalen mellem EU og USA med Schrems I-dommen. Hurtigt efter indgik de to parter endnu en aftale, Privacy Shield, europæiske virksomheder brugte som overførselsgrundlag til USA de næste fem år.
I sommeren 2020 afgjorde EU-Domstolen Schrems II-sagen, der endte med, at overførselsgrundlaget Privacy Shield blev underkendt. Før afgørelsen havde europæiske virksomheder benyttet Privacy Shield til blandt andet at bruge amerikansk cloud lovligt.
Nu må virksomhederne i stedet bruge standardkontrakter med supplerende foranstaltninger, og det er en meget svær opgave at finde foranstaltninger, der er gode nok til at gøre persondataoverførsler til USA lovlige.
Det har skabt en frustration hos mange, der står i et dilemma: Skal man trække stikket på sin amerikanske cloud-leverandør for at overholde loven? Eller skal man i stedet vente på, at EU-Kommissionen laver en ny aftale, så man lovligt kan køre videre med amerikansk cloud og andre persondataoverførsler til USA?
Microsoft er i gang med at lave en løsning, hvor hele behandlingen af EU-borgeres data foregår inden for EU’s grænser, og den tjeneste skulle gerne være tilgængelig fra udgangen af i år. Men det vil umiddelbart ikke ændre noget, uddyber regionen, da den problematiske amerikanske lovgivning fortsat vil gælde og give myndighederne i USA for stor adgang til oplysningerne.
FISA 702 er en amerikansk lovgivning, der giver amerikanske efterretningstjenester lov til at kigge såkaldte 'electronic communication providers' over skulderen for at se, hvilken persondata, de har liggende. Cloud-leverandører i USA hører til i den kategori.
Executive order 12333 »gør det muligt for NSA at få adgang til oplysninger, der er i »transit« til USA, ved at tilgå de undersøiske kabler, der ligger på havbunden i Atlanterhavet, og at indsamle og opbevare disse oplysninger, før de når til USA og dér bliver undergivet FISA’s bestemmelser,« står der i betragtning 63 i Schrems II-dommen.
Cloud Act giver amerikanske myndigheder ret til at anmode amerikanske virksomheder om at udlevere data, uanset hvor i verden den er opbevaret.
Misforstået blåstempling
Selvom flere elementer ser ud til at spænde ben for cloud-ambitionerne, har Region Syddanmark fundet en mail, Datatilsynet har sendt til en ukendt kommune, som ifølge regionen kan løse udfordringen.
I rapporten peger regionen på flere forbehold, man må tage overfor mailen, men understreger derefter:
»Ingen af disse forbehold ændrer dog på, at Datatilsynet har 'blåstemplet' brugen af amerikanske virksomheder, som databehandlere inden for EØS.«
Den sætning er dog ikke faldet i god jord hos Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet, der understreger, at tilsynet ikke har blåstemplet noget som helst:
»Det er en fejlvurdering at sige, at vi har blåstemplet noget. Det, vi har sagt, er, at der er en række problemstillinger, og hvis man kan løse dem, så kan man måske godt komme frem til, at det kan være i orden.«
Han henviser til Datatilsynets cloud-vejledning, hvor der står, at man som dataansvarlig skal sikre sig, at ens amerikanske cloud-leverandør kontraktligt lover, at man aldrig nogensinde vil udlevere personoplysningerne til amerikanske myndigheder. Herudover skal en dataansvarlig, der videregiver oplysninger til en anden dataansvarlig (som behandler oplysningerne til egne formål), have lov til dette.
Det lader dog ikke til, at Microsoft har givet sådan en løfte. I rapporten henviser Region Syddanmark til Microsofts databehandleraftale, hvor der står:
»Microsoft hverken videregiver eller giver adgang til behandlede data til ordensmagten, medmindre det er påkrævet af lovgivningen,« skriver tech-giganten og tilføjer:
»Hvis vi er nødsaget til at videregive eller give adgang til behandlede data til ordensmagten, underretter Microsoft straks kunden og sender en kopi af kravet, medmindre vi er juridisk forhindret i at gøre det.«
Usikker Microsoft-migrering
Selvom Region Syddanmark har underskrevet en kontrakt med Microsoft, har man ikke opdateret rapporten de sidste 12 måneder. Projektet rykker dog fremad, og nu skal styregruppen til at lave flere analyser.
I giver udtryk for at have begrænset kontrol med data. Hvordan har I sikret, at cloud-migreringen lever fuldt ud op til GDPR?
»Vores seneste kontrakt på køb af Microsoft-produkter udløb i marts, og nu har vi i samarbejde med de øvrige regioner indgået en ny aftale. Den giver mulighed for, at vi kan fortsætte sådan som vi gør i dag, men den giver også mulighed for at anvende Microsoft 365. Så det analyseprojekt, vi nu sætter gang i, handler om, at hvis vi skal flytte over, hvordan skal det så foregå? Og dér skal vi også ind og vurdere nogle af de her ting. Vi er ikke helt så langt.«
Så Region Syddanmark har endnu ikke sikret, at cloud-migreringen kan leve fuldt ud op til GDPR?
»Det er det, vi skal afdække nu. Vi skal også kigge på, hvordan andre myndigheder gør. Vi ser også, at der flytter datacentre til Europa, og der sker nogle tiltag, som måske gør det lettere at håndtere.«
I rapporten vurderer I, at Datatilsynet blåstempler brugen af amerikanske leverandører, der databehandler inden for EØS. Men ifølge Datatilsynet har man ikke blåstemplet noget som helst. Hvordan forholder du dig til det?
»Det er noget af det, vi skal kigge på nu; Holder de antagelser, vi har lavet? Hvis du siger, Datatilsynet siger noget andet, så er det klart, vi skal have undersøgt det.«
Hvorfor har Region Syddanmark ikke spurgt Datatilsynet direkte om det her i stedet for at fortolke på en mail til en kommune?
»Når vores jurister skal lave juridiske vurderinger er det en meget normal tilgang at undersøge relevante afgørelser i andre tilsvarende sager og på den baggrund vurdere, hvad der er retspraksis. Det er Datatilsynets rolle at føre tilsyn med os og andre myndigheder og sikre, at vi lever op til lovgivningen. Men så vidt jeg ved, kan vi som myndighed ikke bede Datatilsynet om at forhåndsgodkende en given løsning.«
Mads Friborg uddyber, at man lige nu ikke har en tidshorisont på cloud-migreringen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
