Trods løfter om ny data-aftale: Københavns Kommune tør ikke rykke på kæmpe cloud-projekt
Det var meningen, at Københavns Kommune skulle have sparet 13,1 millioner kroner de næste par år ved at lægge hele den digitale infrastruktur i Microsofts sky.
Men håbet om de millioner siver langsomt ud i sandet, efter Schrems II-dommen har fået kommunen til at sætte det store projekt på hold.
Læs også: EU-dom har lammet kæmpe cloud-omstilling i Københavns Kommune
Lige nu kan man nemlig ikke lovligt hoppe i den amerikanske tech-gigants sky, og derfor venter kommunen på, at EU-Kommissionen finder en løsning på problemet, der plager tusindvis af organisationer, ikke blot i Danmark, men på tværs landene i EU.
I oktober 2015 underkendte EU-Domstolen 'Safe Harbor'-aftalen mellem EU og USA med Schrems I-dommen. Hurtigt efter indgik de to parter endnu en aftale, Privacy Shield, europæiske virksomheder brugte som overførselsgrundlag til USA de næste fem år.
I sommeren 2020 afgjorde EU-Domstolen Schrems II-sagen, der endte med, at overførselsgrundlaget Privacy Shield blev underkendt. Før afgørelsen havde europæiske virksomheder benyttet Privacy Shield til blandt andet at bruge amerikansk cloud lovligt.
Nu må virksomhederne i stedet bruge standardkontrakter med supplerende foranstaltninger, og det er en meget svær opgave at finde foranstaltninger, der er gode nok til at gøre persondataoverførsler til USA lovlige.
Det har skabt en frustration hos mange, der står i et dilemma: Skal man trække stikket på sin amerikanske cloud-leverandør for at overholde loven? Eller skal man i stedet vente på, at EU-Kommissionen laver en ny aftale, så man lovligt kan køre videre med amerikansk cloud og andre persondataoverførsler til USA?
EU lader dog til at have fundet en løsning, da kommissionens formand, Ursula von der Leyen, og den amerikanske præsident, Joe Biden, i slutningen af marts gav hånd på en ny data-aftale, som »vil føre til forudsigelig og troværdige dataoverførsler, som balancerer sikkerhed, retten til privatliv og databeskyttelse,« skriver von der Leyen i et tweet.
Et håndslag er dog ikke nok til, at administrationen i den danske hovedstad vil genoptage projektet, oplyser økonomiforvaltningen i en mail:
»Københavns Kommune afventer, at den politiske udmelding fra EU og USA konkretiseres, og der vedtages nye regler på området jf. Datatilsynets udmelding i marts.«
Tiltro til data-aftalen vakler
Hurtigt efter, EU og USA havde indgået den nye aftale, var Datatilsynet da også ude og fortælle de danske organisationer, som har udfordringer med amerikansk cloud, at de lige skal slå koldt vand i blodet, indtil aftale er nedskrevet:
»Datatilsynet hilser naturligvis EU-Kommissionens bestræbelser på at nå til enighed med USA om en ordning, der tillader udveksling af personoplysninger på tværs af Atlanten, velkommen, og mens ordningen med tiden kan få stor betydning, er principaftalen indtil videre alene en aftale om de overordnede linjer. Den er dermed endnu ikke så konkret, at den gør nogen forskel for organisationer, der overfører personoplysninger til USA. Det skyldes, at der endnu ikke er noget nyt overførselsgrundlag og tilstrækkelighedsvurdering,« skriver tilsynet i en pressemeddelelse.
Selvom den nye aftale i sin nuværende form ikke kan bruges til at realisere Københavns Kommunes cloud-ambitioner, lover den, at USA gennemfører tiltag for at begrænse den massive overvågning, landets efterretningstjenester har lov til at udføre af EU-borgere.
Lige nu giver amerikansk lovgivning nemlig myndighederne stor adgang til europæiske borgeres persondata, som Microsoft og andre cloud-leverandører ligger inde med, og det stemmer ikke overens med EU’s menneskerettighedsprincipper.
FISA 702 er en amerikansk lovgivning, der giver amerikanske efterretningstjenester lov til at kigge såkaldte 'electronic communication providers' over skulderen for at se, hvilken persondata, de har liggende. Cloud-leverandører i USA hører til i den kategori.
Executive order 12333 »gør det muligt for NSA at få adgang til oplysninger, der er i »transit« til USA, ved at tilgå de undersøiske kabler, der ligger på havbunden i Atlanterhavet, og at indsamle og opbevare disse oplysninger, før de når til USA og dér bliver undergivet FISA’s bestemmelser,« står der i betragtning 63 i Schrems II-dommen.
Cloud Act giver amerikanske myndigheder ret til at anmode amerikanske virksomheder om at udlevere data, uanset hvor i verden den er opbevaret.
Konflikten dannede grundlag for EU-Domstolens Schrems II-afgørelse fra sommeren 2020, men nu forsøger USA sig med nye tiltag, der skal gøre landet til et sikkert tredjeland.
Præsidenten vil udstede et dekret med en ordre om, at efterretningstjenesterne kun at må indsamle oplysninger, der er »nødvendige og proportionale« i forhold til dataindsamlingens formål. Man vil også nedsætte en domstol, der skal tage sig af klagesager fra EU.
Men de løsningsforslag har mødt stor kritik fra blandt andet privacy-forkæmperen Max Schrems, der står bag de tidligere EU-sager.
Kommuner tror på EU-løsning
Selvom Max Schrems og eksperter som den danske professor Henrik Udsen er skeptiske overfor, om den nye aftale løser problemet, er Københavns Kommune fortrøstningsfuld. Man regner nemlig stadig med at kunne genoptage cloud-projektet i løbet af i år:
»Med udgangspunkt i den politiske udmelding fra EU og USA, er det stadig Københavns Kommunes forventning, at der er en løsning på plads inden udgangen af 2022, men kommunen har ikke kendskab til den konkrete tidsplan for etablering af et nyt regelgrundlag. Forventningen kan derfor ændres i takt med, at der kommer nye oplysninger frem,« oplyser økonomiforvaltningen i en mail.
Hos Kommunernes Landsforening har man også stor tiltro til den nye aftale, fortalte Pernille Jørgensen, chefkonsulent for Digitalisering og Teknologi hos KL, i starten af april:
»Vi har råbt højt hurra herinde. Det er ikke nogen hemmelighed, for det er en kæmpe, kæmpe lettelse.«
»Når den så er skrevet, har man jo et overførselsgrundlag, der gør, at USA umiddelbart er et sikkert tredjeland at overføre data til. Og så er problemerne løst.«
Version2 har forsøgt at få et interview med Stig Lundbech, direktør i Koncern IT, eller med en anden relevant medarbejder fra Københavns Kommune. Kommunen har afvist begge dele.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
