Video: Internetaktivisten bag Europas cloud-hovedpine gør status et år efter dommen
For præcis et år siden blev den såkaldte Schrems II-dom knæsat ved EU-domstolen. Siden har den fyldt tæt på alt på cloud-dagsordenen herhjemme. Nu kigger manden bag tilbage.
Afgørelsen har mildest talt besværliggjort persondataoverførsler til tredjelande heriblandt USA, hvilket har efterladt danske organisationer i det offentlige og det private i vildrede. Mange har nemlig i løbet af de seneste år begivet sig ud på cloud-eventyr og har i den forbindelse lagt deres data enten direkte i favnen på tech-giganter som Google, Amazon og Microsoft eller indirekte via services, der drives ved hjælp af giganternes infrastruktur.
Men selvom dommen i sig selv og eksperter i brede vendinger er enige om, at spillerummet for persondataoverførsler til eksempelvis USA er ret så begrænset, er det kun ganske få virksomheder, der har forstået pointen.
Sådan lyder kritikken fra den østrigske internetaktivist Max Schrems, der har lagt navn til dommen. Her et år efter kigger han i en video fra organisationen NOYB tilbage på forløbet.
»Kun en lille del af europæiske virksomheder har indset, at den underliggende konflikt mellem EU's databeskyttelse og amerikansk overvågningslovgivning ikke bliver løst på den korte bane,« siger han og peger på, at mange heller ikke har taget konsekvensen og flyttet data hjem til Europa."
Ligegyldig pseudo-hjælp
I spændingsfeltet mellem kunder, jurister og leverandører udspiller der sig en linedans, hvor mange endnu venter på at se, hvordan situationen endeligt håndteres og håndhæves af myndighederne.
Herhjemme har vi på Version2 beskrevet, hvordan eksempelvis Sundhedsplatformen har været fanget i en kattepine på grund af Schrems II-dommen.
Her var blandt andet Region Hovedstaden kaldt til møde med andre europæiske Epic-kunder for at diskutere, hvordan man skulle håndtere en situation, hvor Epic-medarbejdere i supportsituationer havde adgang til klartekst på kontorene i USA.
Men det er ikke kun regionerne, der abonnerer på Sundhedsplatformen, der har mærket den kolde cloud-sved begynde at perle på overlæben. Mange virksomheder og organisationer holdes fortsat hen med formaninger om, at alting formentlig kommer til at løse sig på magisk vis via en ny aftale, på samme måde, som man så, hvordan Privacy Shield afløste Safe Harbour.
Men det virker nærmest som høflige miner til slet spil, lyder kritikken fra Max Schrems.
»En horde af erhvervsadvokater og amerikanske cloud-leverandører forsøger sig med en »keep calm and carry on«-pseudo-guidance,« siger han.
Venter fortsat
Ifølge internetaktivisten, der altså har sat det meste af den europæiske del af cloud-verdenen på den anden ende, har også diverse datatilsyn i EU også lænet sig tilbage i sagen.
Uagtet er de endelige anbefalinger fra Det Europæiske Databeskyttelsesråd (EDPB) er landet, og mens mange havde håbet på, at de ville indeholde en åbning eller på anden måde anvise en løsning på problemstillingen, blev de skuffet.
»Det er et meget snævert rum, der er for brug af tjenester der overfører persondata til USA, og det mener jeg egentlig allerede, at den oprindelige dom fra EU-domstolen beskrev,« sagde Allan Frank, der er it-sikkerhedsspecialist hos Datatilsynet og har været involveret i arbejdet med anbefalingerne.
»Vi har i de sidste mange år haft en måde at forbruge it-produkter på, som EU-domstolen nu har konstateret ikke er i overensstemmelse med reglerne. Så vi er et sted nu, hvor man som dataansvarlig skal lakmusteste sit setup,« lød det ligeledes dengang fra Allan Frank.
Men selvom det kan lyde som om, at man også hos Datatilsynet herhjemme ser ret klart på, hvordan spillepladen udfolder sig, når det kommer til overførsler, så mener Max Schrems ikke, at det er tilstrækkeligt.
Leverandører som Microsoft og AWS har ellers siden Schrems II-dommen arbejdet på at give deres kunder en vished for, at deres setup er i overenstemmelse med reglerne. Men afgørelsen og anbefalingerne viser, at det ser svært ud.
»Jeg ser det lidt som en grundpræmis, at leverandørerne selvfølgelig må gøre det, der skal til for at deres løsninger harmonerer med europæisk lov.« har Allan Frank tidligere udtalt.
Se hele videoen fra organisationen NOYB med Max Schrems her:

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.