Er vi på vej mod en "EU-cloud"?

Det er nok ikke gået manges næse forbi, at der er nyt i Schrems II-sagaen i form af nye EU-vejledninger og standardklausuler/SCC’er. I dette indlæg vil jeg fokusere på konsekvensen for leverandører og kunder i cloud-branchen, og benytte anledningen til at rejse et mere generelt spørgsmål, som jeg længe har forsøgt at blive klog på: Kan det lykkedes EU at bruge Schrems II-sagen som katalysator til at indfri deres mangeårige ambition om at gøre sig/os mere uafhængige af US-techgiganterne ved at opbygge en “EU cloud”?

Indlægget er opdelt i følgende afsnit:

• 6 simple steps til lovlig brug af cloud-løsninger?

• Er det realistisk, at US-techgiganter kan overkomme EU’s Schrems II-benspænd?

• EU’s ambitioner om en “EU cloud”

• Er det realistisk at, EU’s cloud-alternativer kan matche US-giganterne?

• Nogle forudsigelser

Jeg har fået værdifuld sparring til dette indlæg fra flere personer, herunder min kollega Stefan Stade (compliance-ansvarlig hos Focus Advokater), Dennis Benneballe Grade (compliance-ansvarlig hos OnlineCity), Martin Rud Ehmsen (CTO hos Hesehus A/S) samt Henrik Udsen (professor i IT-ret på KU samt medlem af det danske Dataråd). Ansvaret for indholdet er dog helt mit eget.

6 simple steps til lovlig brug af cloud-løsninger?

Der er efterhånden skrevet rigtig meget om denne sag. Jeg har selv skrevet to tidligere blogindlæg om emnet (her og her), og selvom der nu er kommet nyt fra EU, så har vi stadig ikke alle svarene. Den nye vejledning om "supplerende foranstaltninger" er i høring, foreløbigt indtil 21. december, og herefter vil der går en periode inden den endelige udgave af vejledningen bliver offentliggjort. Det samme gælder ift. de nye SCC'er.

Jeg vil derfor på nuværende tidspunkt gentage opfordringen fra mit sidste indlæg, og så vidt muligt får styr på sine overførsler ud af EU (se også et nyt "Roadmap" offentliggjort af Databeskyttelsesrådet/EDPB:

Step 1 er at sikre sig, at man har styr på alle de scenarier og systemer, hvor EU data "overføres" ud af EU. I praksis gælder dette for stort set alle cloud-løsninger. Til eksempel kan jeg nævne, at Focus Advokater P/S pt. anvender 8 SaaS-løsninger, hvoraf de fleste ligger på et datacenter i EU og over halvdelen leveres af danske SaaS-virksomheder - alligevel er samtlige 8 SaaS-tjenester ramt af Schrems II, herunder som følge af underleverandørers brug af “follow the Sun”-support. Man skulle tro, at det burde være praktisk muligt at benytte fx US-cloud udbydere uden at falde ind i disse krav, men det er overraskende vanskeligt at få klare svar på. Emnet uddybes særskilt nedenfor.

Step 2 er at afklare, hvilket lovligt overførselsgrundlag ("transfer tool") man benytter. Indtil Schrems II-sagen anvendte næsten alle cloud-udbydere hhv. Privacy Shield og EU-Kommissionens standardklausuler (SCC'er) som overførselsgrundlag. Den første blev kendt ugyldig med øjeblikkelig virkning, og SCC'erne er fremover kun lovlige at bruge, hvis man foretager en analyse af tilstrækkeligheden i hvert enkelt konkrete scenarie.

Step 3 er gennemførelsen af denne analyse, og det er her den ene af de nye vejledninger fra EDPB er relevant. Der er tale om en vejledning på 38 sider, der som nævnt først kommer i en endelig udgave engang i det nye år. Jeg vil derfor i denne omgang henvise til Henning Mortensens detaljerede analyse. Den korte opsummering er: Der kræves en analyse af hver enkelt cloud-løsning, de heri indeholdte data, lovgivningen i "modtagerlandet" (fx USA fsva. de fleste cloud-løsninger) osv.

Step 4-6 indebærer, at man på baggrund af den grundige analyse implementerer "supplerende foranstaltninger", hvor dette er påkrævet, og løbende følger op på disse. Eksempler herpå er justering af kontrakten med cloud-leverandøren eller underleverandører. I andre tilfælde kan det være relevant med tekniske foranstaltninger såsom kryptering eller pseudonomisering. Fælles for stort set alle potentielle foranstaltninger er, at man som cloud-kunde er afhængig af sin leverandør for at finde en løsning, jf. nedenfor. Det er dog vigtigt at understrege, at det primære ansvar hviler på os danske cloud-kunder og/eller danske Saas-leverandører, og at vi ikke længere bare kan sidde på hænderne. Resten af indlægget forsøger således at give indblik i, hvor meget hjælp vi kan forvente at få fra Microsoft og co., samt hvorvidt tiden er kommet til at se på EU-alternativer.

Er det realistisk, at US-techgiganter kan overkomme EU’s Schrems II-benspænd?

Mange, inklusive jeg selv, har nok været af den opfattelse, at Microsoft og co. selvfølgelig nok skulle finde en juridisk smutvej udenom om de nye krav i kølvandet på EU-Domstolens afgørelse i juli måned. Jeg må dog erkende, at det bliver sværere for dem end jeg havde regnet med. Vi får først klare svar, når de endelige udgaver foreligger, men her er en kort opsamling på cloud-leverandørenes udfordringer :

Udfordring nr 1: Global cloud vs EU’s landegrænser på internettet

Hele årsagen til polemikken er, at GDPR (ligesom de gamle regler) tillader fri bevægelighed for data indenfor EU, men stiller skærpede krav ved overførsler ud af EU. Det er derfor ikke alle cloud-løsninger, som er ramt af Schrems II: Det er “kun” dem, hvor data juridisk set “overføres” ud af EU, når man bruger tjenesten. “Kun” er i anførselstegn fordi langt de fleste cloud-løsninger gør dette. Hvis man ønsker en mere detaljeret redegørelse herfor, kan jeg henvise til mit tidligere indlæg.

På dette sted vil jeg blot opstille en simplificeret tommelfingerregel: Man er ramt af Schrems II, hvis ”nogen” udenfor EU teknisk og/eller juridisk set har adgang til data om EU-borgere.

Teoretisk set er det vist nok muligt at opsætte en løsning hos de store IaaS-udbydere, hvor de kan garantere, at der ikke sker en overførsel ud af EU. Men indtil nu har været meget lidt åbne herom: I 2019 bragte Comuterworld en historie om, at KOMBIT og Netcompany i 2019 havde omfattende drøftelser med Amazon med henblik på at få bekræftet, at data på skole-platformen Aula ikke forlader EU. Forløbet endte ifølge artiklen med en mundtlig (!?) garanti fra Amazon om, at data ikke vil forlade EU. Og selv efter dette omfattende forløb spurgte journalisten KOMBIT:"Ved I hvor mange services, I afskærer jer fra hos AWS?" og hertil var svaret ""Nej, det gør vi ikke."

Det er muligt, at visse cloud-leverandører vil kunne komme helt udenom "overførsler" ud af EU, fx ved at indføre en mere skarp styring ift. om supporterer har adgang til data, eller kun applikationslaget, men som sagt har der tilsyneladende ikke været meget fokus på dette i branchen indtil nu.

Udfordring nr 2: Schrems II handler i første række om NSA og respekt for grundlæggende retsstatsprincipper

Som også uddybet i mit forrige indlæg om Schrems II, handler sagen om meget mere end "bare" overholdelse af nogle formalia krav i GDPR: I følge EU-Domstolen handler det om grundlæggende menneskerettigheder og beskyttelse mod alt for vidtgående indgreb fra fremmede stater og efterretningstjenester. Det har ikke fået så meget opmærksomhed, men EDPB offentliggjorde faktisk to vejledninger for nyligt: Udover den som alle omtaler vedr. "supplerende foranstaltninger", har de også sendt en vejledning i høring om "European Essential Guarantees for surveillance measures". Der er med andre ord en uddybning af de minimumskrav, som skal opfyldes, for at fremmede efterretningstjenesters overvågning ikke er i strid med EU's grundlæggende rettigheder.

Og inden kommentarsporet løber løbsk med spydige bemærkninger om FE vil jeg sige: Ja, det er absurd, at vi skal bruge så mange ressourcer på at undgå at NSA får fingre i vores data, når FE i årevis har sendt data direkte til dem. MEN, fokuserer vi alene på juraen, så er der altså en mening med galskaben: EU's efterretningstjenester er underlagt nogle "GDPR-lignende" regler, som er særligt møntet på behandling af personoplysninger hos retshåndhævende myndigheder, og EU-Domstolen har flere gange slået ned, når EU-myndigheder er gået for langt. Hvorvidt en sådan sag er på vej ift. FE, vides endnu ikke.

Der er dog håb for, at denne storpolitiske kamp er på vej i den rigtige retning, men disse ting tager tid, så vi er nødt til at finde andre løsninger i mellemtiden.

Udfordring nr 3: Overførsler ud af EU er generelt blevet langt mere besværlige - men mest besværlige ift. US-virksomheder

Schrems II handlede, ligesom Schrems I, specifikt om Facebook og NSA’s overvågning af deres data. Alle vejledninger fra EU er dog generelt formulerede, og derfor gælder de nye skærpede krav for overførsler til alle lande udenfor EU. I de fleste tilfælde kræver det således en kompleks juridisk analyse, hvis man fortsat vil overføre data ud af EU/bruge tjenester der gør dette.

At USA’s regler er uforenelige med EU-retten er der dog ingen tvivl om (jf ovenfor). Dermed kan SCC’erne ikke stå alene (heller ikke de nye), hvorfor der skal “supplerende foranstaltninger” til. Men de fleste foranstaltninger duer ikke: Kryptering er ikke tilstrækkeligt, hvis cloud-leverandøren også har en krypteringsnøgle, og kontrakter binder ikke NSA.

Tirsdag i sidste uge deltog tre repræsentanter fra EDPB i et webinar/paneldebat arrangeret af den internationale privacy-organisation IAPP, og de lagde ikke skjul på, at deres nye vejledning vil gøre det besværligt og tungt, hvis man vil fortsætte med at bruge US-cloud leverandører. De skyndte sig dog at sende skylden videre til EU-Domstolen: De er "caught between a rock and a hard place."

Jeg har derfor pt. ikke fantasi til at forestille mig at Microsoft og co. kan gøre noget, som med et trylleslag løser det hele for alle deres løsninger, så vi kunder ikke behøver at foreholde os til de besværlige krav. Dog vil vi formentlig se flere udbydere tilbyde løsninger, hvor kundens data krypteres lokalt, således at den pågældende cloud-leverandør ikke selv har adgang til krypteringsnøglen, såsom Service Now's "Edge Encryption". og Zoom's nye E2EE-kryptering. I mange tilfælde er kryptering dog ikke en praktisk realistisk mulighed, jf. også de mange gode input i kommentarerne til mit første Schrems II-indlæg.

Til eksempel kan nævnes, at databeskyttelsesrådgiveren for EU's egne institutioner (EDPS) for et par uger siden offentliggjorde en strategi for, hvordan de vil efterleve Schrems II. Herfra kan bl.a. fremhæves, at EU-myndighederne på kort sigt er i gang med at kortlægge alle deres overførsler ud af EU samt udarbejde "Transfer Impact Assesments" i hvert enkelt tilfælde. Og jeg hæfter mig bl.a. ved dette citat: "With regard to new processing operations or new contracts with service providers, the EDPS strongly encourages EUIs to avoid processing activities that involve transfers of personal data to the United States."

EU’s ambitioner om en “EU cloud”

Denne opfordring giver mig anledning til at fremhæve, at EU rent faktisk i mange år har arbejdet på at opbygge en EU-baseret cloud-infrastruktur. Helt tilbage i 2013 blev der i EU-regi udarbejdet et dokument med overskriften "Towards an EU Cloud Computing Strategy".

I 2020 har EU for alvor skruer op for blusset på denne målsætning. EU-Kommissionen skriver bl.a. følgende på deres side om cloud:

“Cloud computing is a key objective to increase Europe's sovereignty as outlined in the European Commission’s Data Strategy, Digital Strategy, Industrial Strategy and the EU recovery plan. Currently, the European Commission works on the establishment of a European Allliance on Industrial Data and Cloud, which will enable the development of several work streams:

• Joint Investment in cross-border cloud infrastructures and services to build the next generation cloud supply

• European marketplaces for cloud services, where users will have a single portal to cloud offerings meeting key EU standards and rules.

• EU Cloud Rulebook for cloud services, which will provide a single European framework of rules, transparency on their compliance and best practices for cloud use in Europe.

Member States have signed on 15 October 2020 a joint declaration on cloud where they express their will to collaborate towards the creation of a European cloud.”

Parallelt med disse officielle EU-initiativer, har flere lande iværksat yderligere tiltag med samme sigte for øje. Det mest prominente eksempel herpå er "Gaia X-projektet", der har Tyskland og Frankrig som initiativtagere, men de opfordre andre EU-lande til at tilslutte sig også. Ifølge hjemmesiden er mere end 300 organisationer pt. med i projektet, og tilslutningen stiger løbende. Der findes en foreløbig udgave af en søgeportal her, og en videopræsentation af projektet her.

I øvrigt er det også muligt for US-techgiganterne at gå med i projektet, idet formålet formelt set ikke er at skubbe amerikanerne helt ud: Formålet er at sikre, at brugen af cloud sker i overensstemmelse med EU's værdier og lovkrav. Eksempelvis meddelte både AWS og Microsoft i sidste uge, at de går med i projektet.

Er det realistisk, at EU’s cloud-alternativer kan matche US-giganterne?

Som det er fremgået ovenfor, er det muligt at US-tech giganterne kan finde nogle løsninger, men det bliver ikke let. I mellemtiden er vi nødt til at overveje, hvorvidt vi kan finde EU-alternativer til dem.

Der er ingen tvivl om, at Azure, AWS og GCP har mange års forspring og stordriftsfordele, som ingen EU-leverandører pt. kan matche 100%. Fokus er i dette indlæg på det juridiske perspektiv, og jeg vil derfor nøjes med at dykke ned i et argument, som jeg ofte hører fra cloud-fortalere: Cloud-løsninger er langt mere sikre, bl.a. fordi de store udbyder efterleve alle internationale regler og standarder. Dette synspunkt vil jeg godt udfordre lidt.

Det er således ikke mange danske myndigheder og virksomheder, der har værdi af at Microsoft fx understøtter efterlevelse af +90 regelsæt fra rundt om i verden. I mange tilfælde er det alene afgørende, hvorvidt leverandøren kan levere “nok” sikkerhed efter EU’s lovkrav og standarder. Og lige præcis hvad der er nok cloud-sikkerhed efter EU’s standarder ved vi faktisk ikke pt., men EU’s officielle cybersikkerhedsorgan, ENISA, arbejder på et certificeringsordning med netop dette sigte.

En anden detalje, som ofte bliver overset i diskussionen om cloud-sikkerhed: Selvom de tre store kan bryste sig med hundredevis af certifikater og funktioner med fokus på sikkerhed, så er der jo kun tale om en “bruttoliste”, som ikke nødvendigvis afspejler sikkerhedsniveauet for en konkret løsning sat op på deres servere. Alle de tre store arbejder således med en “shared responsibility”-model, hvor en ikke uvæsentlig del af ansvaret for “nok” sikkerhed ligger hos den kunde eller SaaS-leverandør, der sætter den konkrete løsning op.

Nogle forudsigelser

Som det fremgår er der stadig en del ubekendte, herunder fordi de nye EU-dokumenter fortsat kun ligger i udkast, men jeg vil godt prøve at stikke snuden frem og komme med nogle forudsigelser:

• Problemerne går ikke væk af sig selv. EU-Domstolen har en gang for alle sat emnet øverst på dagsordenen for både EU-Kommissionen, Databeskyttelsesrådet og en lang række andre organisationer. Og Schrems og hans organisation NOYB kommer til at fortsætte kampen.

• 2021 bliver året, hvor cloud-udbydere for alvor har incitament til at investere i reel Data Protection by Design - dvs. andet og mere end “privacy-makeup” såsom Privacy Shield og SCC’er som ingen læser. Udover Schrems II-sagen, bliver denne udvikling skubbet frem af at EDPB for nyligt vedtog en ny og meget ambitiøs vejledning om Data Protection by Design, og af at Datatilsynet og Rigsrevisionen det sidste år har slået ned på IT-leverandører og kunders ansvar for at føre kontrol med disse.

• GDPR-venlige Analytics-tjenester såsom Matomo kommer til at stjæle endnu større markedsandele fra Google Analytics. Det samme gælder andre digitale tjenester, hvor der er reelle EU- og/eller anonymiserede alternativer. Der findes en lang række teknologier, som muliggør udnyttelse af Big Data og AI, uden at ramme ind i GDPR-udfordringer, fx fra udbyderen Anonos. Det er blot først nu, at udbyderne har et kommercielt incitament til at investere i den slags teknologier...

• Microsoft skal nok lykkedes med at få EU til acceptere deres SaaS-løsninger, ikke mindst O365, som vi ikke har noget reelt alternativ EU-alternativ til. Modsat de brede anvendelsesscenarier for Azure, så bør O365-tjenesterne kunne tweakes rent teknisk/organisatorisk/kontraktuelt, så de lever op til de nye strenge krav. Microsoft har også opbygget en del goodwill, herunder fordi de rent faktisk har brugt et år forud for Schrems II på at være i dialog med EU’s myndigheder ift. præcis de emner som er behandlet overfor. De er også kommet med en pressemeddelelse, hvori de udtrykker vilje til at imødekomme de nye krav (i samme meddelelse nævner de også at de anser en del af løsningen for at være et tilbud om kompensation til personer, hvis oplysninger er blevet ulovligt behandlet - hvilket også må siges at falde i kategorien "privacy-makeup"...)

• Jeg er pt. usikker på, hvad fremtidsudsigterne er for Azure, AWS og GCP - og dermed også for de mange EU SaaS-løsninger, der bruger dem som underleverandør. Deres forretningsmodeller er pt. indrettet med udgangspunkt i, at de skal kunne bruges til alle mulige og umulige scenarier, hvilket besværliggør implementering af “one size fits all”-løsninger. Mon ikke de kommer til at lave en ren "EU-cloud", som (modsat den nuværende) rent faktisk garanterer, at data aldrig ender udenfor EU. Google annoncerede i sidste uge et nyt samarbejde med OVH, som netop har fokus på europæiske kunder, og AWS og Microsoft er som nævnt gået med i Gaia X-projektet.

Ovenstående er blot mine ydmyge tanker - Jeg håber at nogle af jer vil byde ind, særligt de (mange!) af jer, der ved mere om den tekniske og praktiske side af cloud end jeg gør.