Region Syd flytter i Microsofts cloud, men er usikker på, om det er lovligt

4. juli kl. 03:0513
Region Syd flytter i Microsofts cloud, men er usikker på, om det er lovligt
Illustration: Pressefoto/Odense Universitetshospital.
Følsomme oplysninger om patienter fra Regions Syddanmark skal i Microsofts sky, og projektet er i fuld gang. Men regionen har ikke styr på databeskyttelsen endnu. »Misforstået blåstempling« siger Datatilsynet.
Artiklen er ældre end 30 dage

Medarbejdere i Region Syddanmark bruger softwareproduktet Microsoft 365, og den løsning er hostet on premise. Men det er snart fortid, for selvom de ansatte fortsat skal have adgang til software-pakken, planlægger regionen at rykke hele systemet i tech-gigantens sky.

»Vores forståelse er, at Microsoft på et tidspunkt vil udfase deres on premise-løsninger, hvorefter vi er nødt til at flytte flere af vores nuværende Microsoft produkter i skyen. Nu har vi sat det i gang for at have god tid til at flytte over, lave de analyser og det design, der skal til,« fortæller Mads Friborg, afdelingschef for planlægning i Regional IT i Region Syddanmark og medlems af projektets styregruppe. Han uddyber:

»Det handler også om, hvor udviklingen sker, og den sker blandt andet på 356 i skyen. Det er også for at kunne tilbyde vores klinikere og ansatte nogle tidssvarende løsninger.«

Selvom der stadig er nogle elementer af projektet, som styregruppen skal have på plads inden migreringen, har Region Syddanmark underskrevet en aftale med Microsoft – blandt andet på baggrund af en analyse udarbejder af regionen sidste år.

Artiklen fortsætter efter annoncen

I rapporten, som hedder ‘Juridisk vurdering af M365 med fokus på cloud ud fra en informationssikkerhedsmæssig synsvinkel’, slår regionen fast, at det er sikkert at fortsætte cloud-migreringen, selvom det betyder, at regionen mister kontrol med data.

Ingen indflydelse på aftale med Microsoft

Regionens ambitioner om en cloud-migrering af Microsoft 365 omfatter fire applikationer: Azure-AD, One/Drive (Sharepoint), Exchange og Office. Rapporten viser, at der i One/Drive (Sharepoint) ligger patientoplysninger, som er følsomme personoplysninger.

På trods af, at der er tale om meget beskyttelsesværdige data, har regionen næsten ingen indflydelse på aftalen med Microsoft. I rapporten skriver man, at regionen hverken har mulighed for at påvirke »udformningen af produkterne, sikkerheden i produkterne eller aftalegrundlaget.«

»Aftalegrundlaget er komplekst og udarbejdet på forhånd af Microsoft. Indholdet er ikke til forhandling, hverken hovedaftalen, databehandleraftalen eller instruksen (sikkerhedsforanstaltninger) har regionen indflydelse på,« skriver man i rapporten og uddyber, at det er tvivlsomt, om vilkårene stemmer overens med GDPR.

GDPR kræver også, at den dataansvarlige (Region Syddanmark) skal føre tilsyn med sin databehandler (Microsoft). Men i rapporten står der, at regionen kun kan føre tilsyn ved at kigge i en revisionsrapport fra Microsoft, som kan være underlagt hemmeligholdelse. Derfor er regionen i tvivl om, hvorvidt det stemmer overens med GDPR.

Regionen påpeger også, at Microsofts vilkår kan gå ud over borgerens kontrol over data, da de efterlader ‘et betragteligt råderum’ for Microsoft. Ifølge vilkårene vil tech-giganten kun hjælpe en registrerede, hvis anmodningen ‘anses som værende rimelig’.

Cloud-problemer

Det er Region Syddanmark, der står til ansvar for medarbejdere og patienters databeskyttelse, når man bruger Microsofts sky. Men de sidste par år har det været besværligt for mange virksomheder og myndigheder at bruge amerikanske cloud-tjenester, efter den famøse Schrems II-afgørelse kom i sommeren 2020.

Schrems-sagerne

I oktober 2015 underkendte EU-Domstolen 'Safe Harbor'-aftalen mellem EU og USA med Schrems I-dommen. Hurtigt efter indgik de to parter endnu en aftale, Privacy Shield, europæiske virksomheder brugte som overførselsgrundlag til USA de næste fem år.

I sommeren 2020 afgjorde EU-Domstolen Schrems II-sagen, der endte med, at overførselsgrundlaget Privacy Shield blev underkendt. Før afgørelsen havde europæiske virksomheder benyttet Privacy Shield til blandt andet at bruge amerikansk cloud lovligt.

Nu må virksomhederne i stedet bruge standardkontrakter med supplerende foranstaltninger, og det er en meget svær opgave at finde foranstaltninger, der er gode nok til at gøre persondataoverførsler til USA lovlige.

Det har skabt en frustration hos mange, der står i et dilemma: Skal man trække stikket på sin amerikanske cloud-leverandør for at overholde loven? Eller skal man i stedet vente på, at EU-Kommissionen laver en ny aftale, så man lovligt kan køre videre med amerikansk cloud og andre persondataoverførsler til USA?

Microsoft er i gang med at lave en løsning, hvor hele behandlingen af EU-borgeres data foregår inden for EU’s grænser, og den tjeneste skulle gerne være tilgængelig fra udgangen af i år. Men det vil umiddelbart ikke ændre noget, uddyber regionen, da den problematiske amerikanske lovgivning fortsat vil gælde og give myndighederne i USA for stor adgang til oplysningerne.

Problematisk amerikansk lovgivning

FISA 702 er en amerikansk lovgivning, der giver amerikanske efterretningstjenester lov til at kigge såkaldte 'electronic communication providers' over skulderen for at se, hvilken persondata, de har liggende. Cloud-leverandører i USA hører til i den kategori.

Executive order 12333 »gør det muligt for NSA at få adgang til oplysninger, der er i »transit« til USA, ved at tilgå de undersøiske kabler, der ligger på havbunden i Atlanterhavet, og at indsamle og opbevare disse oplysninger, før de når til USA og dér bliver undergivet FISA’s bestemmelser,« står der i betragtning 63 i Schrems II-dommen.

Cloud Act giver amerikanske myndigheder ret til at anmode amerikanske virksomheder om at udlevere data, uanset hvor i verden den er opbevaret.

Misforstået blåstempling

Selvom flere elementer ser ud til at spænde ben for cloud-ambitionerne, har Region Syddanmark fundet en mail, Datatilsynet har sendt til en ukendt kommune, som ifølge regionen kan løse udfordringen.

Skærmbillede af mail
Skærmbillede fra Region Syddanmarks rapport, der viser en mail, Datatilsynet har sendt til en kommune. Illustration: Skærmbillede/Region Syddanmark.

I rapporten peger regionen på flere forbehold, man må tage overfor mailen, men understreger derefter:

»Ingen af disse forbehold ændrer dog på, at Datatilsynet har 'blåstemplet' brugen af amerikanske virksomheder, som databehandlere inden for EØS.«

Den sætning er dog ikke faldet i god jord hos Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet, der understreger, at tilsynet ikke har blåstemplet noget som helst:

»Det er en fejlvurdering at sige, at vi har blåstemplet noget. Det, vi har sagt, er, at der er en række problemstillinger, og hvis man kan løse dem, så kan man måske godt komme frem til, at det kan være i orden.«

Han henviser til Datatilsynets cloud-vejledning, hvor der står, at man som dataansvarlig skal sikre sig, at ens amerikanske cloud-leverandør kontraktligt lover, at man aldrig nogensinde vil udlevere personoplysningerne til amerikanske myndigheder. Herudover skal en dataansvarlig, der videregiver oplysninger til en anden dataansvarlig (som behandler oplysningerne til egne formål), have lov til dette.

Det lader dog ikke til, at Microsoft har givet sådan en løfte. I rapporten henviser Region Syddanmark til Microsofts databehandleraftale, hvor der står:

»Microsoft hverken videregiver eller giver adgang til behandlede data til ordensmagten, medmindre det er påkrævet af lovgivningen,« skriver tech-giganten og tilføjer:

»Hvis vi er nødsaget til at videregive eller give adgang til behandlede data til ordensmagten, underretter Microsoft straks kunden og sender en kopi af kravet, medmindre vi er juridisk forhindret i at gøre det.«

Usikker Microsoft-migrering

Selvom Region Syddanmark har underskrevet en kontrakt med Microsoft, har man ikke opdateret rapporten de sidste 12 måneder. Projektet rykker dog fremad, og nu skal styregruppen til at lave flere analyser.

I giver udtryk for at have begrænset kontrol med data. Hvordan har I sikret, at cloud-migreringen lever fuldt ud op til GDPR?

»Vores seneste kontrakt på køb af Microsoft-produkter udløb i marts, og nu har vi i samarbejde med de øvrige regioner indgået en ny aftale. Den giver mulighed for, at vi kan fortsætte sådan som vi gør i dag, men den giver også mulighed for at anvende Microsoft 365. Så det analyseprojekt, vi nu sætter gang i, handler om, at hvis vi skal flytte over, hvordan skal det så foregå? Og dér skal vi også ind og vurdere nogle af de her ting. Vi er ikke helt så langt.«

Så Region Syddanmark har endnu ikke sikret, at cloud-migreringen kan leve fuldt ud op til GDPR?

»Det er det, vi skal afdække nu. Vi skal også kigge på, hvordan andre myndigheder gør. Vi ser også, at der flytter datacentre til Europa, og der sker nogle tiltag, som måske gør det lettere at håndtere.«

I rapporten vurderer I, at Datatilsynet blåstempler brugen af amerikanske leverandører, der databehandler inden for EØS. Men ifølge Datatilsynet har man ikke blåstemplet noget som helst. Hvordan forholder du dig til det?

»Det er noget af det, vi skal kigge på nu; Holder de antagelser, vi har lavet? Hvis du siger, Datatilsynet siger noget andet, så er det klart, vi skal have undersøgt det.«

Hvorfor har Region Syddanmark ikke spurgt Datatilsynet direkte om det her i stedet for at fortolke på en mail til en kommune?

»Når vores jurister skal lave juridiske vurderinger er det en meget normal tilgang at undersøge relevante afgørelser i andre tilsvarende sager og på den baggrund vurdere, hvad der er retspraksis. Det er Datatilsynets rolle at føre tilsyn med os og andre myndigheder og sikre, at vi lever op til lovgivningen. Men så vidt jeg ved, kan vi som myndighed ikke bede Datatilsynet om at forhåndsgodkende en given løsning.«

Mads Friborg uddyber, at man lige nu ikke har en tidshorisont på cloud-migreringen.

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
11. juli kl. 18:44

Nu er jeg tvunget til at benytte Windows i mit daglige arbejde, ingen er tilfredse og alle har en VM med linux kørende hvor det daglige arbejde foregår. Til trods for at Windows kun benyttes sporadisk beslaglægger det min. 8gb ram!

Det er mig stadig en gåde hvordan nogen kan se Windows som en konkurrent/alternativ til MacOS eller Linux. Der hvor jeg er mest ved at falde ned fra stolen er når nogen begynder at snakke om Windows servere (så degraderer jeg ubevidst folk til huleboere, med en hvis portion medlidenhed).

Man bør i min optik aldrig ansætte en IT chef der dukker op til jobsamtalen med en clonky Windows 10/11 maskine. Så hellere pege på den første forbipasserende på gaden og ansæt ham istedet.

9
4. juli kl. 22:47

En ting er GDPR og hvad USA kan gøre med alt vores information via en tvivlsom lovgivning. Det at vi giver USA så stor magt over vores kritiske infratruktur er faktisk værre. De kan jo "slukke" for EU's offentlige instanser og private virksomheder.

Den magt har de inkompetente IT-chefer selvfølgelig allerede afleveret til Microsoft for længe siden, men i cloud bliver slukknappen bare så instantan.

8
4. juli kl. 22:03

Der er intet i den aktuelle situation med Exchange on premise, der gør at man skal skifte væk fra den, af den årsag. Der kommer en ny version her i 2022 så som først har EOL om mange år. Den største ændring er de laver om på deres licensregler. Grund til de gør det, er jo nok en anden, at de vil spare deres IT afdeling væk. Det de gør er jo en klokke klar overtrædelse, da alle ved at hvis de amerikanske stat kræver noget udleveret skal de gøre det. Det står i deres lov. Netop derfor har EU jo også påpeget dette og sagt det ikke kan godkendes i henhold til GDPR. Anbefalingen går klart på hvis man skal i clouden skal man vælge et europæiske udbyder med deres server på europiske jord. Hvor mange der af denne konstellationen ved jeg ikke.
Jeg støder oftere og oftere på i industrien, at man på DJØF gangene er villig til at se stort på dette krav, da de gerne vil have alt ud i skyen, da det er nemmere at lave et buget med kendte udgifter. Alle mulige julelege bliver gjort for at gøre data anonyme, men det kan man jo ikke hundrede procent, da man jo skal kunne bruge dem selv. Slet ikke når det handler om mail mellem borger og kommune. Nu skal data også gemmes i mindst et år. Det er jo en guldgruppe for NSA, hvis de synes der skal kikkes lidt på nogen. Jeg kan slet ikke forstå at Datatilsynet ikke laver nogle mere klare retningslinjer, så selv en DJØF'er kan forstå det ikke kan godkendes.

7
4. juli kl. 15:24

Hvis nu, der var tale om it-brug i en virksomhed med meget værdifuld forskning, ville en sådan virksomhed så lægge sine guldæg i en cloud, hvor man er garanteret INGEN indflydelse, hvor man er garanteret INGEN info, hvis diverse efterretningsfolk læser med og i øvrigt kan råbe og skrige - ville den virksomhed vælge en cloudbaseret løsning?

Tja ...

10
6. juli kl. 11:58

Nu vil en sådan virksomhed jo ikke lægge sine vitale oplysninger i produkter som Office 365 eller Sharepoint Online! De vil dog benytte cloudleverandører som AWS, Azure og GCP og gør det i stor udstrækning! På grund af den høje datasikkerhed de kan opnå!

NSA og andre efterretningstjenester kan givetvis dekryptere udvalgte data i ganske lille omfang - de har dog på ingen måde kapacitet til omfattende dekryptering (før de får adgang til en stabil kvantecomputer). Dette betyder, at de kun vil forsøge dekryptering hvis de har en mistanke om væsentlige informationer af betydning for nationens sikkerhed. Denne adgang har de for så vidt også på data, der slet ikke er kommet til USA. De kan bare bede andre efterretningsvæsener om data - som vi har set udleverer danske efterretningstjenester gerne data om alle andre end danskere til de amerikanske efterretningstjenester (vi håber i hvert fald at tilsynet med efterretningstjenesterne er effektivt nok til at opdage og påtale evt. udlevering af data om danskere...).

Det er i praksis ikke muligt at forhindre en efterretningstjeneste adgang til (krypterede) data ligegyldig hvor de placeres! Undtagelsen er i en radiosikret bunker uden vinduer og uden galvanisk forbindelse til omverdenen, hvilket ikke er særlig praktisk.

Den største trussel mod persondata er ikke efterretningstjenester - Det er sløset omgang med ukrypterede data!

Derfor skyder datatilsynet og andre tilsynsmyndigheder sig selv i foden ved at fokusere på efterretningstjenesternes potentielle adgang - det medfører nemlig at myndigheder og virksomheder "tvinges" til at benytte "stenalderløsninger", hvor brugere forsøger at opnå en tålelig hverdag ved håndtere data med usikre midler, som, at udtrække data til Excel for at indlæse dem i andre systemer. Her er det så ofte at mellemresultatet lækkes utilsigtet.

Faktisk har alle lande en lovgivning, der i praksis gør at GDPR ikke gælder for landets egne borgere overfor landets egen efterretningstjeneste. For der er ingen offentlig indsigt i hvornår de får tilladelse til adgang.

5
4. juli kl. 14:47

Det offentlige er nødt til at tage konsekvensen. Microsoft, Google etc. kan ikke være leverandører.

4
4. juli kl. 12:16

"På trods af, at der er tale om meget beskyttelsesværdige data, har regionen næsten ingen indflydelse på aftalen med Microsoft. I rapporten skriver man, at regionen hverken har mulighed for at påvirke »udformningen af produkterne, sikkerheden i produkterne eller aftalegrundlaget.« »Aftalegrundlaget er komplekst og udarbejdet på forhånd af Microsoft. Indholdet er ikke til forhandling, hverken hovedaftalen, databehandleraftalen eller instruksen (sikkerhedsforanstaltninger) har regionen indflydelse på,« skriver man i rapporten og uddyber, at det er tvivlsomt, om vilkårene stemmer overens med GDPR."

Jeg bliver harm! Man er i tvivl om lovligheden, men man gør det da bare alligevel? Og så underkaster man sig oven i købet fuldstændigt Microsofts overherredømme?

I mine øjne er det så bevidst lovovertrædelse, at det burde være strafpådragende. Hvad bilder de sig ind?

3
4. juli kl. 11:26

Lav da en POC på alternative løsninger der rent faktisk KAN overholde GDPR. Personligt bruger vi Kolab i min virksomhed - den implementerer rent open source løsninger og virker fantastisk til vores behov i hvertfald. Derudover bruger vi lokalt installeret Libreoffice hvis vi har behov for den slags. Der findes også firmaer der sælger libreoffice online produkt - som overholder GDPR - hvis man vil prøve det.. Der er flere muligheder, hvis man er villig til at investere tiden i at se på de faktiske behov hos medarbejderne og arbejde med en POC der evt. kunne løse dette.. OG måske sågar spare penge, så POC'en kan ende med at gtve overskud (og overholde GDPR) på længere sigt?

6
4. juli kl. 15:13

Nu skal jeg ikke forsvare beslutningen om at fortsætte med en ulovlig løsning istedet for at få det fikset, men jeg forestiller mig, at en region har adskillige håndfulde integrationer til Microsoft-produkter, som vil koste blod, sved og tårer at lave om. Derudover er der sikkert mange standardprodukter, som kun virker med Office. Tingene er ikke altid så nemme som de ser ud.

11
6. juli kl. 18:53

Så hellere male sig længere ind i hjørnet, kaste gode penge efter dårlige, etc? Åbne APIer, åben kildekode og åbne standarder øger konkurrencen, både mht. økonomi og innovation. Så gå den vej!

Og selvfølgelig er det hverken nemt eller billigt at kæmpe sig ud af tredive års idiotisk malen sig længere og længere ind i et hjørne af leverandørafhængighed, og det havde været billigere at tage skridtet for femogtyve år siden. Men det bliver ikke billigere ved at vente.

2
4. juli kl. 09:36

"GDPR kræver også, at den dataansvarlige (Region Syddanmark) skal føre tilsyn med sin databehandler (Microsoft). Men i rapporten står der, at regionen kun kan føre tilsyn ved at kigge i en revisionsrapport fra Microsoft, som kan være underlagt hemmeligholdelse. Derfor er regionen i tvivl om, hvorvidt det stemmer overens med GDPR."

Det skriger jo til himmelen at der er et eller andet galt hvis de rapporter som Microsoft levere er underlagt hemmeligholdelse.

Måske det ville være på sin plads at kigge på alternative løsninger, så vidt jeg kan se fra dette så bruger man outlook/exchange, oneDriver og Sharepoint. Exchange kan man jo fint beholde on-prem, og der findes alternative løsninger for oneDriver og Sharepoint.

Det ser ud til at region-syd er ved at lave det samme som de gjorde med Bios ... man skifter til noget, uden egentlig at undersøge om det er lovlig / vil virke.

1
4. juli kl. 08:27

Informer nu regionens topledelse. Særligt i lyset af minkskandalen, hvor de øverst ansvarlige tørrer ansvaret af på andre, bør man nu sikre sig, at regionens topledelse er fuldt informeret om, at der er risiko for manglende lovlighed af dette. Det virker som om man her forsøger at fralægge sig ansvaret for en dårlig aftale under dække af, at man ikke kan påvirke aftalens indhold. Dette er dog en konplet forkert påstrand. Man kan jo bare lade være med at indgå aftalen!