Trods løfter om ny data-aftale: Københavns Kommune tør ikke rykke på kæmpe cloud-projekt

19 kommentarer.  Hop til debatten
Københavns rådhus
Illustration: IndustryAndTravel/Bigstock.
Københavns Kommune tør endnu ikke genoptage sin cloud-migrering til Microsoft, før den nye data-aftale med USA er skrevet ned, og det officielt er et sikkert tredjeland.
7. juni kl. 04:00

Det var meningen, at Københavns Kommune skulle have sparet 13,1 millioner kroner de næste par år ved at lægge hele den digitale infrastruktur i Microsofts sky.

Men håbet om de millioner siver langsomt ud i sandet, efter Schrems II-dommen har fået kommunen til at sætte det store projekt på hold.

Læs også: EU-dom har lammet kæmpe cloud-omstilling i Københavns Kommune

Lige nu kan man nemlig ikke lovligt hoppe i den amerikanske tech-gigants sky, og derfor venter kommunen på, at EU-Kommissionen finder en løsning på problemet, der plager tusindvis af organisationer, ikke blot i Danmark, men på tværs landene i EU.

Schrems-sagerne

I oktober 2015 underkendte EU-Domstolen 'Safe Harbor'-aftalen mellem EU og USA med Schrems I-dommen. Hurtigt efter indgik de to parter endnu en aftale, Privacy Shield, europæiske virksomheder brugte som overførselsgrundlag til USA de næste fem år.

I sommeren 2020 afgjorde EU-Domstolen Schrems II-sagen, der endte med, at overførselsgrundlaget Privacy Shield blev underkendt. Før afgørelsen havde europæiske virksomheder benyttet Privacy Shield til blandt andet at bruge amerikansk cloud lovligt.

Nu må virksomhederne i stedet bruge standardkontrakter med supplerende foranstaltninger, og det er en meget svær opgave at finde foranstaltninger, der er gode nok til at gøre persondataoverførsler til USA lovlige.

Det har skabt en frustration hos mange, der står i et dilemma: Skal man trække stikket på sin amerikanske cloud-leverandør for at overholde loven? Eller skal man i stedet vente på, at EU-Kommissionen laver en ny aftale, så man lovligt kan køre videre med amerikansk cloud og andre persondataoverførsler til USA?

EU lader dog til at have fundet en løsning, da kommissionens formand, Ursula von der Leyen, og den amerikanske præsident, Joe Biden, i slutningen af marts gav hånd på en ny data-aftale, som »vil føre til forudsigelig og troværdige dataoverførsler, som balancerer sikkerhed, retten til privatliv og databeskyttelse,« skriver von der Leyen i et tweet.

Artiklen fortsætter efter annoncen

Et håndslag er dog ikke nok til, at administrationen i den danske hovedstad vil genoptage projektet, oplyser økonomiforvaltningen i en mail:

»Københavns Kommune afventer, at den politiske udmelding fra EU og USA konkretiseres, og der vedtages nye regler på området jf. Datatilsynets udmelding i marts.«

Tiltro til data-aftalen vakler

Hurtigt efter, EU og USA havde indgået den nye aftale, var Datatilsynet da også ude og fortælle de danske organisationer, som har udfordringer med amerikansk cloud, at de lige skal slå koldt vand i blodet, indtil aftale er nedskrevet:

»Datatilsynet hilser naturligvis EU-Kommissionens bestræbelser på at nå til enighed med USA om en ordning, der tillader udveksling af personoplysninger på tværs af Atlanten, velkommen, og mens ordningen med tiden kan få stor betydning, er principaftalen indtil videre alene en aftale om de overordnede linjer. Den er dermed endnu ikke så konkret, at den gør nogen forskel for organisationer, der overfører personoplysninger til USA. Det skyldes, at der endnu ikke er noget nyt overførselsgrundlag og tilstrækkelighedsvurdering,« skriver tilsynet i en pressemeddelelse.

Selvom den nye aftale i sin nuværende form ikke kan bruges til at realisere Københavns Kommunes cloud-ambitioner, lover den, at USA gennemfører tiltag for at begrænse den massive overvågning, landets efterretningstjenester har lov til at udføre af EU-borgere.

Lige nu giver amerikansk lovgivning nemlig myndighederne stor adgang til europæiske borgeres persondata, som Microsoft og andre cloud-leverandører ligger inde med, og det stemmer ikke overens med EU’s menneskerettighedsprincipper.

Problematisk amerikansk lovgivning

FISA 702 er en amerikansk lovgivning, der giver amerikanske efterretningstjenester lov til at kigge såkaldte 'electronic communication providers' over skulderen for at se, hvilken persondata, de har liggende. Cloud-leverandører i USA hører til i den kategori.

Executive order 12333 »gør det muligt for NSA at få adgang til oplysninger, der er i »transit« til USA, ved at tilgå de undersøiske kabler, der ligger på havbunden i Atlanterhavet, og at indsamle og opbevare disse oplysninger, før de når til USA og dér bliver undergivet FISA’s bestemmelser,« står der i betragtning 63 i Schrems II-dommen.

Cloud Act giver amerikanske myndigheder ret til at anmode amerikanske virksomheder om at udlevere data, uanset hvor i verden den er opbevaret.

Konflikten dannede grundlag for EU-Domstolens Schrems II-afgørelse fra sommeren 2020, men nu forsøger USA sig med nye tiltag, der skal gøre landet til et sikkert tredjeland.

Præsidenten vil udstede et dekret med en ordre om, at efterretningstjenesterne kun at må indsamle oplysninger, der er »nødvendige og proportionale« i forhold til dataindsamlingens formål. Man vil også nedsætte en domstol, der skal tage sig af klagesager fra EU.

Men de løsningsforslag har mødt stor kritik fra blandt andet  privacy-forkæmperen Max Schrems, der står bag de tidligere EU-sager.

Læs også: Skepsis over data-aftale vokser: Topforhandler vil ikke lægge hovedet på Schrems III-blokken

Kommuner tror på EU-løsning

Selvom Max Schrems og eksperter som den danske professor Henrik Udsen er skeptiske overfor, om den nye aftale løser problemet, er Københavns Kommune fortrøstningsfuld. Man regner nemlig stadig med at kunne genoptage cloud-projektet i løbet af i år:

»Med udgangspunkt i den politiske udmelding fra EU og USA, er det stadig Københavns Kommunes forventning, at der er en løsning på plads inden udgangen af 2022, men kommunen har ikke kendskab til den konkrete tidsplan for etablering af et nyt regelgrundlag.  Forventningen kan derfor ændres i takt med, at der kommer nye oplysninger frem,« oplyser økonomiforvaltningen i en mail.

Hos Kommunernes Landsforening har man også stor tiltro til den nye aftale, fortalte Pernille Jørgensen, chefkonsulent for Digitalisering og Teknologi hos KL, i starten af april:

»Vi har råbt højt hurra herinde. Det er ikke nogen hemmelighed, for det er en kæmpe, kæmpe lettelse.«

»Når den så er skrevet, har man jo et overførselsgrundlag, der gør, at USA umiddelbart er et sikkert tredjeland at overføre data til. Og så er problemerne løst.«

Version2 har forsøgt at få et interview med Stig Lundbech, direktør i Koncern IT, eller med en anden relevant medarbejder fra Københavns Kommune. Kommunen har afvist begge dele.

19 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
13
8. juni kl. 08:52

Lige sådan for at bevise at automation og cloud også er muligt indenfor europa - så er der f.ex. https://github.com/JWDobken/terraform-hcloud-kubernetes og scaleway (fransk) har https://www.scaleway.com/en/kubernetes-kosmos/ og https://www.scaleway.com/en/kubernetes-kapsule/- managed Kubernetes ekvivalent til AKS; EKS og GKE Så hvis nu man i en så stor organisation som KK holdt OP med at mene at kun Microsoft kunne være Cloud leverandør - så kunne man få en rigtig besparelse (i stedet for den jeg ikke rigtig tror på med Azure :)

19
9. juni kl. 13:58

selvfølgelig kan det det ske - Azure's indbyggede sikkerhed drejer sig primært om at beskytte de enkelte kunder i mod hinanden og i mod at indbrud hos én kunde giver adgang til andre kunders systemer (et nyt problem cloud giver - escape af docker / kvm - der er hvert år nye sårbarheder her) og at sikre drift af deres systemer (altså stoppe for store DDOS angreb..

Men alt det sædvanlige, med indbrud via udstillede services kunden selv kører på sit udstyr i Cloud - skal sikres præcis som du plejer - ellers er det ligeså udsat for DOS, DDOS, datatab, ransomware etc.

12
7. juni kl. 18:01

Kan noget som dette ske, hvis man har lagt hele sin infrastruktur i skyen?

Det er godt spørgsmål, men det antager jeg ikke som udgangspunkt. MS har også en forretning, de gerne vil tjene på.

  • Datacentre i skyen - har d4en fordel, at de ikke bruger strøm og evt. udleder klimafasser her.
  • Der skal ikke bruges folk til at holde dem kørende.
  • De lokale "genier" sammenligner drift og maskinudlejning (-drift).

Strøm til danske datacentre udgør ca 2,5% af forbruger - i dag; dey forbrug vokser i følfe kilder på ing.dk og version2.dk med 1000 gange over de næste 9 år[1].

Man (MS) kan håbe Prs. Biden når at se på, hvad denne "tekniske" hindring koster US om året.

[1] Formålet med dommedagsforudsigelser er at afvare i tide; så de ikke går i opfyldelse.

10
7. juni kl. 13:32

I lyset af diverse svar fra folk her i tråden, der har forstand på den slags, forekommer det mere og mere relevant at få fat i den business case...

Og i kommunens rejse- og mødekalender. Åbent lobbyistregister....

Mon nogen har været på dejligt besøg i Silicon Valley?

18
9. juni kl. 10:55

Som illustration af hvorfor min kommentar om at åbne møde- og rejsekalendere er yderst relevant, og af at hele digitaliseringsmisbruget er blevet politikeres og topembedsfolks private sugerør ned i samfundskassen, kan nævnes den aktuelle historie om Ane Halsboe-Jørgensen, som - på trods af, at Danmark har en dyrt betalt tech-ambassadør i Silicon Valley - helt skamløst med 4 topembedsfolk tog på roadtrip langs Californiens kyst, tog til Oscar-uddeling, og mødtes med tech-guruerne for personligt at overrække en anmodning om mere åbenhed om algoritmerne - selv om brevet allerede var overrakt:https://frihedsbrevet.dk/kulturministerens-dyre-brev-til-techgiganterne-var-allerede-sendt-paa-mail-begrundelsen-for-turen-ser-ud-til-at-smuldre-fuldstaendig/https://www.berlingske.dk/politisk-morgenpost/ane-halsboe-rejste-paa-business-class-til-usa-for-at

"Den 23. marts i år landede kulturminister Ane Halsboe-Jørgensen i lufthavnen i San Francisco. Det må have været en blød landing efter en behagelig rejse på business class – billetter, der for ministeren alene har kostet 95.778 kroner og 268.040 kroner for det samlede entourage, der udover ministeren talte fire embedsfolk. "

Fra Frihedsbrevet: Kulturministeriet svarer på spørgsmålet, om der er kommet noget konkret ud af det: *"”Som opfølgning på kulturministerens overrækkelse af anmodningen og efterfølgende møder vil der allerede i juni blive afholdt konkrete tekniske drøftelser med Meta, YouTube, danske forskere og civilsamfundsorganisationer. Det forventes at give konkret viden om bl.a. effekterne af de enkelte tech-giganters algoritmer i Danmark. Derudover skal kulturministeren i denne uge personligt mødes med Google og Meta på højt niveau for at holde virksomhederne op på deres positive tilkendegivelser på møderne i Silicon Valley og drøfte de videre spor.” *

"Er der kommet noget ud af det her brev? “Det er jo et led i at blive ved med at fastholde presset på det for at have mere gennemsigtighed omkring algoritmer og konsekvenserne, som det har – både for vores demokrati og for børn og unges trivsel,” sagde Kasper Sand Kjær. Men har I hørt noget fra det? “Nej, der var ikke sådan et konkret spørgsmål i det, men det er jo så store giganter, at man er nødt til at opsøge en dialog."

Logrende lammehaledikkeri, efter min mening!

For et par år siden brugte topembedsfolk i Danmark adskillige millioner på en lignende rejse til Mekka, hvilket ser ud til at have medført det fuldstændige digitale amok-løb, hvor befolkningen er koblet fuldstændigt af. Nu er Microsofts danske direktør er nu ligefrem blevet udstyret med en form for ministerpost i regeringen: Formand for regeringens Digitaliseringsråd, med et milliard-budget. Mon det er det, der er kommet ud af rejsen?

Digitaliseringen er druknet i lobbyisme og pamperi - det er blevet et ta' selv-bord, hvor samfundets bedste er fuldstændigt forsvundet ud af radaren:

Hvordan får vi ryddet op i det? Jeg frygter, at det ikke engang vil være nok at åbne for fuld indsigt i partistøttekasser og VL-klub-medlemslister, kræve åbne lobbyist-registre og møde- og rejsekalendere (men det er helt afgørende). Pamperiet, magtmisbruget og korruptionen er simpelthen blevet alt for omfattende.

Hvad kan vi gøre? For dette kan ikke fortsætte!

16
8. juni kl. 09:28

Microsoft bor i Redmond i Seattle (Washington) og ikke Silicon Valley.

17
8. juni kl. 10:02

Tak for korrektion, Nikolaj Brinch Jørgensen. For mig er "Silicon Valley" mere et begreb end et geografisk sted - men jeg bør selvfølgelig være mere præcis.

7
7. juni kl. 13:17

Positivt at KK afventer, men det havde set bedre ud hvis de havde indset det uundgåelige, nemlig at der ikke kan laves en gyldig aftale. Det er spild af borgernes penge at bruge tid på det.

Har de en Plan B parat?

Og så tlslutter jeg mig dem som ikke tror på at der er penge at spare ved at rykke ud i Microsofts sky. Lad os se den business case!

5
7. juni kl. 11:16

De KUNNE jo vælge en "anden cloud" - f.ex. en europæisk leverandør, hvor GDPR problemet ER løst :) Derudover gad jeg også godt se regnestykket. Jeg har f.ex. lige sammenlignet prisen for compute ressourcer hos en stor kunde,, og bare én server i deres compute farm (til 100k dkk i indkøb) - koster 22k/mnd hos Azure for tilsvarende specs (og flytning til Azure bliver derfor MEGET dyrt når man har 10+ af den slags maskiner der faktisk laver noget :)

Man kan få samme specs hos Hetzner i tyskland for 2k/mnd - og så er det en fysisk maskine man lejer.

For at forsøge at spare på den enorme omkostning CPU har i cloud, skal man alligevel forsøge sig med Kubernetes (så man kan slukke/slette VM instanser når der ikke er behov) - og så kan man ligeså vel køre Kubernetes på Hetzner fysiske servere - da den jo håndterer hvis en server skulle dø - helt automatisk alligevel :)

Hetzner har også VMs til en langt lavere pris end de 3 store cloud's - og et API (bl.a. Terraform understøtter) - så man kan gøre ca. det samme som hos de 3 store, bare til en helt helt anden pris.

Det undrer mig at det regnestykke ikke er blevet udsat for noget modstand - for jeg har endnu ikke set nogen der kan dokumentere at de har sparet penge, ved at migrere til de 3 store cloud providere - uden at have et 'lettere fiktivt' højt omkostningsniveau for eget datacenter - og i såtilfælde, kan dette jo outsources til f.ex. Hetzner, der tydeligvis kan gøre det til en HELT anden pris, og leverer en databehandler aftale mm.

15
8. juni kl. 09:26

Jeg tror såmen ikke du skal lægge så meget i ordet Cloud. Rigtigt mange (også her) ved ikke rigtigt hvad det betyder. Det der med elastisk skalerbarhed og alt det der, det vil og kan man ikke.

Cloud betyder for rigtigt mange blot Azure drift hos Microsoft. Det er de dygtige sælgere hos Microsoft Danmark der har været ude at sælge og definere hvad Cloud er for rigtigt mange beslutningstagere, og det er Azure.

Microsoft var måske sidst af de 3 store, men de har måske den bedste marketingsafdeling. Det er jo i sig selv en genistreg at give deres Cloud Platform et navn (Azure), som kan tales om bla. Microsoft zealots...

9
7. juni kl. 13:28

Har du også Microsoft licenser med i dit regnestykke?

14
8. juni kl. 08:53

Hvis regnestykke?

3
7. juni kl. 07:56

Jeg gad godt se det regnestykke for typisk så koster outsourcing (hvilket cloud også er) væsentligt mere end egen drift.

4
7. juni kl. 08:29

Interessant. Hvad har mon så fået de bestemmende kræfter i Københavns Kommune til at tage den beslutning?

Kan Version2 mon skaffe sig regnestykket, eller er det som sædvanligt militærhemmeligheder - man vil ikke kigges i kortene, for de tåler ikke dagens lys?

6
7. juni kl. 13:12

Der er tre svar til dit spørgsmål:

  1. det gør alle andre så det må være det rigtige
  2. det er "nemmere" (det er det som er tættest på sandheden)
  3. det anbefaler konsulenterne (som i øvrigt oftest påpeger at det ikke er billigere)
2
7. juni kl. 07:24

Fornuften er ved at indfinde sig med museskridt. Nu afventer man i det mindste lige aftalen - men desværre åbenbart ikke afgørelsen på den sag, Schrems uden tvivl vil rejse - og som han jo plejer at vinde.

Og:"Det var meningen, at Københavns Kommune skulle have sparet 13,1 millioner kroner de næste par år ved at lægge hele den digitale infrastruktur i Microsofts sky."

Endnu engang begår man kapitalbrøleren at sælge skindet, før bjørnen er skudt. At indregne besparelse, inden man ved, om det kommer til at fungere.

Hvad koster det mon at omlægge til skyen? Og hvilke BigTech-firmaer lader man sig på den måde stavnsbinde af? Kun Microsoft?

Og det lyder farligt at lægge hele infrastrukturen ud i skyen.....

1
7. juni kl. 06:38

Så kan man håbe for skatteydere , at der bliver lavet en kritisk juridisk vurdering af aftalens holdbarhed