Schrems II slår revner i Aula: Vil have ændret ulovlig AWS-aftale
I foråret kom Datatilsynet med en afgørelse, der har slået så store revner i forholdet mellem kommunernes it-fællesskab Kombit og den amerikanske cloud-leverandør Amazon Web Services (AWS), at Kombit nu har startet forhandlinger om at få ændret en aftale om Aula.
I standardaftalen, Kombit har skrevet under på, forbeholder AWS sig retten til at udlevere persondata fra kommunikationsplatformen, som folkeskoler og daginstitutioner landet over bruger, til amerikanske myndigheder.
Men det er ulovligt, mener Datatilsynet, og derfor opfordrede man før sommer Kombit til at bede AWS love, at tech-giganten aldrig nogensinde vil sende Aula-brugernes persondata til USA.
Det er nemlig et usikkert tredjeland, slog EU-Domstolen fast med Schrems II-dommen i sommeren 2020, for lovgivningen i landet kan gå ud over europæiske borgeres privatliv.
I oktober 2015 underkendte EU-Domstolen 'Safe Harbor'-aftalen mellem EU og USA med Schrems I-dommen. Hurtigt efter indgik de to parter endnu en aftale, Privacy Shield, europæiske virksomheder brugte som overførselsgrundlag til USA de næste fem år.
I sommeren 2020 afgjorde EU-Domstolen Schrems II-sagen, der endte med, at overførselsgrundlaget Privacy Shield blev underkendt. Før afgørelsen havde europæiske virksomheder benyttet Privacy Shield til blandt andet at bruge amerikansk cloud lovligt.
Nu må virksomhederne i stedet bruge standardkontrakter med supplerende foranstaltninger, og det er en meget svær opgave at finde foranstaltninger, der er gode nok til at gøre persondataoverførsler til USA lovlige.
Det har skabt en frustration hos mange, der står i et dilemma: Skal man trække stikket på sin amerikanske cloud-leverandør for at overholde loven? Eller skal man i stedet vente på, at EU-Kommissionen laver en ny aftale, så man lovligt kan køre videre med amerikansk cloud og andre persondataoverførsler til USA?
Selvom der nu er lagt op til en forhandling, ingen andre virksomheder i Danmark, så vidt Version2 ved, har haft held med endnu, mente Kombit ikke sidste år, at der var problemer med AWS.
Efter man i starten af 2021 valgte at droppe fremtidige aftaler med Microsoft på grund af samme bekymring, fortsatte Kombit med AWS som underleverandør til Aula efter en undersøgelse med afsæt i Schrems II-dommen. Det viste et notat, Version2 fik aktindsigt i foråret 2021.
Selvom Kombit nu på opfordring fra Datatilsynet er nødt til at få ændret kontrakten for at gøre håndteringen af danske børns data lovlig, er det endnu uvist, hvad AWS vil gøre. Leverandøren er gået i tænkeboks.
En garanti fra cloud-leverandørerne
For at forstå den kattepine, Kombit lige nu sidder i, skruer vi tiden tilbage til foråret 2022, hvor Datatilsynet offentliggjorde sin vejledning om, hvordan danske virksomheder lovligt kan bruge cloud-tjenester.
Mange havde ventet i spænding på, om den ville løse Schrems II-problemerne, men ifølge flere juridiske eksperter, gjorde vejledningen det i stedet meget klart, at det næsten er umuligt at bruge amerikanske cloud-leverandører lovligt.
Selvom oplysningerne ligger i tech-giganter europæiske cloud-centre, er der nemlig stadig en risiko for, at oplysningerne kan ende i USA. I standardkontrakterne forbeholder leverandørerne sig retten til at udlevere persondata til amerikanske efterretningstjenester, hvis der kommer en myndighedsanmodning under FISA 702, og det kan gå ud over kommunernes GDPR-compliance og danske borgeres ret til privatliv.
FISA 702 er en amerikansk lovgivning, der giver amerikanske efterretningstjenester lov til at kigge såkaldte 'electronic communication providers' over skulderen for at se, hvilken persondata, de har liggende. Cloud-leverandører i USA hører til i den kategori.
Executive order 12333 »gør det muligt for NSA at få adgang til oplysninger, der er i »transit« til USA, ved at tilgå de undersøiske kabler, der ligger på havbunden i Atlanterhavet, og at indsamle og opbevare disse oplysninger, før de når til USA og dér bliver undergivet FISA’s bestemmelser,« står der i betragtning 63 i Schrems II-dommen.
Cloud Act giver amerikanske myndigheder ret til at anmode amerikanske virksomheder om at udlevere data, uanset hvor i verden den er opbevaret.
I kølvandet på cloud-vejledningen fortalte Datatilsynets jurist og it-sikkerhedsspecialist Allan Frank, at den type forbehold forekommer i alle de store tech-giganters standardkontrakter:
»I de situationer, vi har kigget ind i, har det været sådan, at alle de store leverandører har forbeholdt sig muligheden for i yderste konsekvens at udlevere oplysningerne til deres hjemland,« sagde han til Version2 og tilføjede et løsningsforslag:
»De skal ind og skrive under på, at de altid følger europæisk lovgivning uanset, hvad de måtte blive mødt med af amerikanske krav. Reelt set skal de sige, at hvis de står i en situation, hvor de bliver tvunget til at vælge mellem europæisk og amerikansk lovgivning, så vælger de europæisk lov.«
Samme besked fik Kombit om AWS, da man på baggrund af cloud-vejledningen henvendte sig til Datatilsynet for at blive rådgivet om Aula.
Falsk garanti i privatlivspolitik
På trods af den vedvarende risiko for tredjelandsoverførsler, har der i privatlivspolitikken for Aula hidtil stået:
»Kommunen eller kommunens samarbejdspartnere sælger under ingen omstændigheder dine personlige oplysninger til 3. part. Endvidere overføres der ikke personoplysninger til tredjelande uden for EU eller EØS.«
Men i forbindelse med en opdatering af platformen den 27. august i år, ændrede Kombit sin praksis, så kommunerne ikke længere skal bruge en standard-privatlivspolitik, men kan følge en skabelon udarbejdet af Kombit, der i store træk ligner den gamle.
I skabelonen har man dog fjernet sætningen om tredjelandsoverførsler, der fremgik af den tidligere privatlivspolitik.
Garanti eller ej?
Sætningen er ikke længere relevant, skriver Kombit i en mail til Version2:
»Som dataansvarlig er man alene forpligtet til oplyse de registrerede, hvis der konkret sker overførsler af personoplysninger til tredjelande. Da der ikke overføres personoplysninger til tredjelande ved brug af AWS og AWS’ services, var den nævnte sætning overflødig og den er derfor fjernet fra skabelonen til privatlivspolitikken. Vi er opmærksomme på problematikken om myndighedsanmodninger.«
Har jeg forstået det korrekt, at det er en garanti fra Kombit om, at der ikke sker tredjelandsoverførsler?
»De daglige oplysninger fra Aula ligger inden for EU. Så er vi godt opmærksomme på den problematik, der er omkring myndighedsanmodninger, og hvordan vi håndterer dem, det er vi i gang med at afklare med Datatilsynet og AWS. Vi kan ikke komme nærmere på det lige nu,« svarer Henrik Kirkeskov, pressechef i Kombit.
Så lige nu eksisterer der en mulighed for myndighedsanmodninger, og derfor kan Kombit ikke garantere? Det er et ja/nej-spørgsmål i sidste ende.
Det havde Henrik Kirkeskov ikke mulighed for at svare på. Men efterfølgende sender Kombit et skriftligt svar på mail:
»I databehandleraftalen gives der i dag mulighed for, at AWS – hvis de bliver mødt med en myndighedsanmodning – kan blive pålagt at behandle personoplysninger med henblik på at opfylde en sådan anmodning. KOMBIT kan derfor ikke afvise, at AWS vil blive pålagt at udlevere oplysninger til fx amerikanske myndigheder på baggrund af amerikansk lovgivning.«
Man tilføjer, at Kombit på nuværende tidspunkt er i dialog med AWS for at få aftalen ændre, og at leverandøren vil vende tilbage med svar midt i september.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
