Schrems II-anbefaling til kommunerne: Lad leverandøren vurdere loven i tredjelande

Mig bekendt har kommunerne allerede deres egne store og fine datacentre. Jeg er vitteligt i tvivl. Handler dette bare om at folk har overbevist sig selv om at de ikke kan leve uden MS Office 360 (fordi de muligvis aldrig har prøvet andet) eller foregår der en eller anden form for lobbyisme som stikker dybere?

Jeg undrer mig, fordi jeg som privat person valgte at følge POSIX-standarderne (og kylede min sidste MS maskine på mødingen for ca. 2 år siden), hvilket jeg må tilstå er et af de bedste IT valg jeg nogen sinde har truffet (af flere årsager).

Af såkaldt cloud storage (SaaS, som GDrev, iCloud, OneDrive), benytter jeg mig kun af disse til kryperede backups og kun så længe det er gratis. Som SaaS løsning benytter jeg mig af min egen opsætning af Nextcloud (såvidt jeg ved benytter de tyske myndigheder sig også af Nextcloud), sat op i et troværdigt Europæisk datacenter.

Tiludvikling og eksperimenter inden for den lidt mere komlicerede del af cloud (microservices, IaC og distribueret computing/cluster). Benytter jeg mig af et miniature setup (K3S) på RPi (selvom arm arkitekturen giver en del vanskeligheder). Dette er jo tjent hjem på en måned, sammenlignet med at skulle spinne maskiner op hos GCP og så ligger det on-premis.

Til produktion, bør man (kommunerne) nok benytte sig på noget managed/semi-managed der bygger på OpenStack, a la Platform9, Canonical eller Red Hat OpenShift. (Jeg har dog endnu ikke et sådan setup, men har regnet mig frem til at det vil koste mig i omegnen af 250kr. o/m for et testsetup med en master servere og 3 nodes i alt.)

Nu har jeg rodet lidt rundt i Azure og GCP (mangler AWS). Og man efterlades jo med et indtryk af at der er smidt en stor bunke rod af obskuerende, forvirende og manipulerende services ind for at kamuflerer ellers simple og enkle cloud native standarder, biblioteker og protokoller.

Hvorfor benytte standardiserede operativsystemer??? (UNIX-lignende: Mac OSX, Fedora typer, Debian typer, BSD typer, Solaris osv. i hundrede vis). Pointen er at har man først lært grundpricipperne bag et af disse systemer, så kan man kommunikere, styrer alle systemer inden for disse standarder fra printere til servere osv (der er eks. ingen mystiske D:\drev/\og\ sti/\systemer/\som/ man skal tilpasses sig). Ideen om at det skulle være en god idé at binde sig til et firma, med lukket kildekode og monopol-ambitioner, som laver deres egne standarder om omkalfatre dem som "vinden blæser" eller hver femte år, er meget svært at begribe.

Der er sikkert mange der er trådt over fode nu. Men det er "desværre" den eneste rigtige løsning, hvis afhængigheden af især Google og Microsoft skal ophører og man vil efterleve Europæisk lovgivning.

Så kan man også spille leverandørerne ud mod hinanden.

Den leverandør der vurderer det er lovligt, vinder ordren.

Men sådan er der vel ikke nogen der kan finde på at tænke? /sarkasme

...hvem der foretager vurderingen, er det vel i sidste ende kommunernes ansvar, hvis det går galt? Tør de så virkeligt overlade den opgave til leverandøren?

Jeg synes, det lyder som noget, vi har hørt mange gange før: At kommunerne tror, at de kan købe sig fra ansvaret for borgernes data... Det kan de vel ikke?

Det er den dataansvarlige (kommunen) som skal foretage vurderingen og ikke databehandleren (leverandøren).

Eller så må vi tilbage til at borgerne har den fulde kontrol med data, dvs. jeg bestemmer om hvilke af mine data som kommunen må håndtere, hvem kommunen må videregive data til osv.

Det tror jeg dog ikke kommunen er interesseret i.

Det er den dataansvarlige (kommunen) som skal foretage vurderingen og ikke databehandleren (leverandøren).

Ja, det tænkte jeg også. Man kan outsource opgaven - ikke ansvaret.

Det er den dataansvarlige (kommunen) som skal foretage vurderingen og ikke databehandleren (leverandøren).

Det ville være på sin plads hvis KL tog ansvar og indrømmede at [...]

Er det fundamentale problem ikke at KL promoverer en "IT er noget vanskeligt noget som det offentlige ikke har forstand på og derfor ikke bør tage ansvar for" holdning ?

KL anbefaler dog, at kommunerne ikke går i gang med at vurdere tredjelandenes databeskyttelsesniveau, herunder lovgivning på området, men lader leverandørerne foretage denne opgave

Hvis opgaven overlades til leverandøren bør man nok spørge sig selv:

1. Har leverandøren en interessekonflikt?

2. Har leverandøren tilstækkelige kompetancer til at løfte opgaven?

3. Hvem har ansvaret i sidste ende (retorisk)

KL anbefaler dog, at kommunerne ikke går i gang med at vurdere tredjelandenes databeskyttelsesniveau, herunder lovgivning på området, men lader leverandørerne foretage denne opgave, eftersom leverandørerne må formodes allerede at kende lovgivningen i de tredjelande, de overfører data til

Ja, de kender udmærket til lovgivningen og til praksis fsva data og ved at de ikke er forenelige med EUs Charter. De ved også at man derfor ikke kan transportere data til amerikanske leverandører. Men vil de indrømme det?

Uden sammenligning iøvrigt så svarer det til at vi lader rockerne selv bedømme om det de laver er lovligt eller ej.

Det er ikke god rådgivning fra KLs side!

Det ville være på sin plads hvis KL tog ansvar og indrømmede at de lod sig forføre, da de gav grønt lys til de ulovlige dataoversørsler og at KL nu medvirker til at bringe data i sikkerhed. Der er ingen grund til at grave hullet dybere.

...uden mellemmand? Hverken O365, AWS eller Google Docs behøver mellemmand/pusher så Leverandøren er hhv. Microsoft, Amazon og Google, skal de vurdere sig selv ??

Kan de små private virksomheder også trykke deres IT-leverandør (læs: Typisk Microsoft) på maven?