Schrems II-anbefaling til kommunerne: Lad leverandøren vurdere loven i tredjelande

25. januar 2021 kl. 09:2811
EU-cloud-bom illustration
Illustration: Iskra Denkova.
KL anbefaler at sende den juridiske hovedpine i kølvandet på Schrems II videre til leverandørerne.
Adam Fribo
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Adam Fribo

Schrems II-dommen har sendt chokbølger gennem it-organisationer i hele verden, og sammenholdt med nye anbefalinger fra Det Europæiske Databeskyttelsesråd ser det nu jævnt besværligt ud at overføre data til USA på lovlig vis.

Blandt andet er det nu et krav, at den dataansvarlige skal vurdere, om lovgivningen i eksempelvis USA respekterer europæisk databeskyttelseslovgivning - og hvis det ikke er tilfældet, skal man aftale tekniske foranstaltninger med sin leverandør.
Jesper Langemark er partner i advokatvirksomheden Bird&Bird. Han arbejder til dagligt med it-kontrakter for både offentlige og private kunder.

Men det mener KL ikke, at kommunerne bør indlade sig på.

»Det er KL's anbefaling, at kommunerne går i gang med at følge de seks skridt for ansvarlig dataoverførsel, som er beskrevet i Det Europæiske Databeskyttelsesråds anbefalinger om iværksættelse af supplerende foranstaltninger,« lyder det i KLs nye Schrems II-anbefalinger til de danske kommuner.

Artiklen fortsætter efter annoncen

»KL anbefaler dog, at kommunerne ikke går i gang med at vurdere tredjelandenes databeskyttelsesniveau, herunder lovgivning på området, men lader leverandørerne foretage denne opgave, eftersom leverandørerne må formodes allerede at kende lovgivningen i de tredjelande, de overfører data til.«

I stedet opfordrer KL kommunerne til igennem en række trin at få styr på, hvor og hvornår de overfører data til tredjelande og indlede en dialog med de relevante leverandører om at få bragt sagerne i orden.

Presbold til leverandøren

Opfordringen fra KL flugter med udtalelser fra Jesper Langemark, der er partner i advokatvirksomheden Bird&Bird.

I et interview med Version2 for nylig gav han sit bud på, hvad man kan gøre, hvis man som kunde står med det ene ben i et nyt cloud-projekt.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Man kan sige til sin leverandør, at hvis man ikke skal tage en time out, så skal leverandøren stå på mål for, at tredjelandsoverførsler kan foregå lovligt. Det kræver, at leverandøren erklærer sig villig til at indbygge de tekniske løsninger, der er nødvendige for at for at leve op til retningslinjer, der kommer fra EDBP,« sagde han.

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
Rune Hansen
27. januar 2021 kl. 13:45

Mig bekendt har kommunerne allerede deres egne store og fine datacentre. Jeg er vitteligt i tvivl. Handler dette bare om at folk har overbevist sig selv om at de ikke kan leve uden MS Office 360 (fordi de muligvis aldrig har prøvet andet) eller foregår der en eller anden form for lobbyisme som stikker dybere?

Jeg undrer mig, fordi jeg som privat person valgte at følge POSIX-standarderne (og kylede min sidste MS maskine på mødingen for ca. 2 år siden), hvilket jeg må tilstå er et af de bedste IT valg jeg nogen sinde har truffet (af flere årsager).

Af såkaldt cloud storage (SaaS, som GDrev, iCloud, OneDrive), benytter jeg mig kun af disse til kryperede backups og kun så længe det er gratis. Som SaaS løsning benytter jeg mig af min egen opsætning af Nextcloud (såvidt jeg ved benytter de tyske myndigheder sig også af Nextcloud), sat op i et troværdigt Europæisk datacenter.

Tiludvikling og eksperimenter inden for den lidt mere komlicerede del af cloud (microservices, IaC og distribueret computing/cluster). Benytter jeg mig af et miniature setup (K3S) på RPi (selvom arm arkitekturen giver en del vanskeligheder). Dette er jo tjent hjem på en måned, sammenlignet med at skulle spinne maskiner op hos GCP og så ligger det on-premis.

Til produktion, bør man (kommunerne) nok benytte sig på noget managed/semi-managed der bygger på OpenStack, a la Platform9, Canonical eller Red Hat OpenShift. (Jeg har dog endnu ikke et sådan setup, men har regnet mig frem til at det vil koste mig i omegnen af 250kr. o/m for et testsetup med en master servere og 3 nodes i alt.)

Nu har jeg rodet lidt rundt i Azure og GCP (mangler AWS). Og man efterlades jo med et indtryk af at der er smidt en stor bunke rod af obskuerende, forvirende og manipulerende services ind for at kamuflerer ellers simple og enkle cloud native standarder, biblioteker og protokoller.

Hvorfor benytte standardiserede operativsystemer??? (UNIX-lignende: Mac OSX, Fedora typer, Debian typer, BSD typer, Solaris osv. i hundrede vis). Pointen er at har man først lært grundpricipperne bag et af disse systemer, så kan man kommunikere, styrer alle systemer inden for disse standarder fra printere til servere osv (der er eks. ingen mystiske D:\drev/\og\ sti/\systemer/\som/ man skal tilpasses sig). Ideen om at det skulle være en god idé at binde sig til et firma, med lukket kildekode og monopol-ambitioner, som laver deres egne standarder om omkalfatre dem som "vinden blæser" eller hver femte år, er meget svært at begribe.

Der er sikkert mange der er trådt over fode nu. Men det er "desværre" den eneste rigtige løsning, hvis afhængigheden af især Google og Microsoft skal ophører og man vil efterleve Europæisk lovgivning.

  • more_vert
    • insert_linkKopier link
10
Arne Jørgensen
26. januar 2021 kl. 13:58

Så kan man også spille leverandørerne ud mod hinanden.

Den leverandør der vurderer det er lovligt, vinder ordren.

Men sådan er der vel ikke nogen der kan finde på at tænke? /sarkasme

  • more_vert
    • insert_linkKopier link
9
Anne-Marie Krogsbøll
25. januar 2021 kl. 17:50

...hvem der foretager vurderingen, er det vel i sidste ende kommunernes ansvar, hvis det går galt? Tør de så virkeligt overlade den opgave til leverandøren?

Jeg synes, det lyder som noget, vi har hørt mange gange før: At kommunerne tror, at de kan købe sig fra ansvaret for borgernes data... Det kan de vel ikke?

  • more_vert
    • insert_linkKopier link
6
Christian Richter-Pedersen
25. januar 2021 kl. 12:36

Det er den dataansvarlige (kommunen) som skal foretage vurderingen og ikke databehandleren (leverandøren).

  • more_vert
    • insert_linkKopier link
4
Claus Bobjerg Juul
25. januar 2021 kl. 11:43

KL anbefaler dog, at kommunerne ikke går i gang med at vurdere tredjelandenes databeskyttelsesniveau, herunder lovgivning på området, men lader leverandørerne foretage denne opgave

Hvis opgaven overlades til leverandøren bør man nok spørge sig selv:

  1. Har leverandøren en interessekonflikt?

  2. Har leverandøren tilstækkelige kompetancer til at løfte opgaven?

  3. Hvem har ansvaret i sidste ende (retorisk)

  • more_vert
    • insert_linkKopier link
3
Johnny Lüchau
25. januar 2021 kl. 10:23

KL anbefaler dog, at kommunerne ikke går i gang med at vurdere tredjelandenes databeskyttelsesniveau, herunder lovgivning på området, men lader leverandørerne foretage denne opgave, eftersom leverandørerne må formodes allerede at kende lovgivningen i de tredjelande, de overfører data til

Ja, de kender udmærket til lovgivningen og til praksis fsva data og ved at de ikke er forenelige med EUs Charter. De ved også at man derfor ikke kan transportere data til amerikanske leverandører. Men vil de indrømme det?

Uden sammenligning iøvrigt så svarer det til at vi lader rockerne selv bedømme om det de laver er lovligt eller ej.

Det er ikke god rådgivning fra KLs side!

Det ville være på sin plads hvis KL tog ansvar og indrømmede at de lod sig forføre, da de gav grønt lys til de ulovlige dataoversørsler og at KL nu medvirker til at bringe data i sikkerhed. Der er ingen grund til at grave hullet dybere.

  • more_vert
    • insert_linkKopier link
2
Maciej Szeliga
25. januar 2021 kl. 09:57

...uden mellemmand? Hverken O365, AWS eller Google Docs behøver mellemmand/pusher så Leverandøren er hhv. Microsoft, Amazon og Google, skal de vurdere sig selv ??

  • more_vert
    • insert_linkKopier link
1
Jesper Christensen
25. januar 2021 kl. 09:42

Kan de små private virksomheder også trykke deres IT-leverandør (læs: Typisk Microsoft) på maven?

  • more_vert
    • insert_linkKopier link