Ny cloud-vejledning fra Datatilsynet presser Kombit og Aula-platformen

21 kommentarer.  Hop til debatten
Ny cloud-vejledning fra Datatilsynet presser Kombit og Aula-platformen
Illustration: Kombit.
Datatilsynet har efter udsendelsen af sin nye cloud-vejledning svaret på spørgsmål fra KOMBIT om, hvad der skal ses som utilsigtede og tilsigtede persondataoverførsler til tredjelande – og svarene er ikke umiddelbart til KOMBIT’s fordel. 
12. april kl. 03:45
errorÆldre end 30 dage

Da den nye cloud-vejledning fra Datatilsynet landede i marts, fik den det kommunale it-fællesskab KOMBIT til tasterne. 

Det længe ventede dokument skal hjælpe myndigheder og virksomheder med at finde hoved og hale i det cloud-kaos, der opstod i 2020, da EU-domstolen stemplede USA som et usikkert sted for europæiske persondata. Men vejledningens bemærkninger relateret til utilsigtede og tilsigtede dataoverførsler til usikre tredjelande - herunder USA -har fanget KOMBIT’s opmærksomhed i sådan en grad, at man har set sig nødsaget til at stille opklarende spørgsmål til tilsynet

Svaret er nu kommet, og det falder ikke ud til KOMBIT’s fordel. 

I sit spørgsmål til tilsynet vil KOMBIT nemlig have at vide, om overførsel af persondata til et tredjeland nogensinde kan karakteriseres som utilsigtet, hvis der i standardkontrakten med en leverandør er angivet nogle undtagelser, hvor den slags overførsler kan finde sted.

Artiklen fortsætter efter annoncen

For KOMBIT er det punkt særligt relevant, da man gennem sin aftale med Netcompany om Aula-platformen benytter sig af den amerikanske cloud-leverandør AWS. Her har man arbejdet på, at al data skal bevares i EU, men i standardkontrakten med AWS fremgår det, at der er to undtagelser: 

  • Hvis det er nødvendigt for levering af visse specifikke AWS services valgt af servicebrugeren.
  • Hvis det er nødvendigt for at overholde lovgivning eller bindende myndigheds anmodninger.

Det ømme punkt

Hos Datatilsynet vurderer man nemlig ikke, at det kan karakteriseres som en utilsigtet overførsel til et tredjeland, hvis det står i aftalen med leverandøren, at data kan komme uden for EU, hvis en muyndighed i det usikre tredjeland kræver data udleveret. Også selvom data ellers er sat til at skulle behandles i europæiske datacentre.

Netop denne problemstilling har været omdrejningspunktet for striden om Schrems-II, da USA’s myndigheder med henvisning til den amerikanske overvågningslov kan tvinge virksomheder som AWS til at udlevere data. 

»Kort sagt vil der i Datatilsynets øjne være tale om en tilsigtet tredjelandsoverførsel. Derfor skal kommunerne sikre sig, at reglerne om overførsler til tredjelande overholdes, når eller hvis AWS foretager sådanne overførsler i henhold til den instruks, der fremgår af databehandleraftalen,« lyder det i svaret fra tilsynet. 

Med andre ord, når undtagelsen er specificeret i databehandlingskontrakten, så vil det være en tilsigtet overførsel og dermed også for kommunerne være i strid med GDPR. For at det skal være en utilsigtet overførsel, skal det ske i strid med de betingelser og eventuelle undtagelser, der er tegnet i databehandleraftalen. 

KOMBIT - og dermed andre myndigheder og firmaer, der bruger AWS eller lignende tjeneter - kan altså ikke gemme sig bag, at man ellers i videst mulig udstrækning har forsøgt at sikre sig mod overførsler, for eksempel ved at kræve, at data bliver bevaret i EU.

Hos KOMBIT ønsker man ikke at kommentere på svaret fra Datatilsynet, og henviser til, at man nu går i dialog med både tilsynet og kommunerne for at finde en løsning på problemstillingen. 

For KOMBIT rammer dette særlig hårdt, da selskabet i sin tid valgte AWS-løsningen, efter det blev vurderet, at AWS var bedre gearet til at kunne varetage persondata, så det ikke var i strid med GDPR-forordningen.

Således fravalgte man efter Schrems-II-dommen at indgå nye kontrakter, hvor Microsoft var databehandler, fordi Netcompany og KOMBIT ikke mente, at it-koncernen i tilstrækkelig grad kunne garantere for, at data ikke ville ryge til USA eller andre tredjelande.

Kollektiv hovedpine

Som Version2 løbende har afdækket siden sommeren 2020, har Schrems II-dommen givet it-organisationer over hele Europa mere end almindeligt travlt. De amerikanske cloud-løsninger bruges overalt, og mange steder har myndigheder og virksomheder brugt betydelige ressourcer på at afklare, om deres sky-setup pludselig er ulovligt.

Samtidig har mange svært ved at se alternativerne, og derfor håber mange, at EU og USA snart lander en ny aftale, der skal gøre det let og lovligt at sender europæeres persondata til amerikanske virksomheder.

»Det at skifte it-systemer er ikke bare ligetil. Det har store økonomiske og administrative konsekvenser, for hvis det bare var lige som at knipse med fingrene, og der var alternativer, som var lige så gode og lige så billige, så have alle jo gjort det. Det her bøvl er ingen interesseret i,« sagde Pernille Jørgensen, chefkonsulent i centeret for Digitalisering og Teknologi hos KL for nyligt om kommunernes frygt for at skulle smide AWS og de andre amerikanere på porten.

Du kan finde hele Version2s dækning af Schrems II-sagen her.

21 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
20
14. april kl. 01:32

Dårligt arbejde, Kombit og KL. Vi andre blev jo anset for narhoveder, når vi stillede os kritisk an over for overførsel af persondata til USA. Utroligt, at dataansvarlige stadig får lov til at fremstille sig selv som ofre. Typisk dansk.

16
13. april kl. 09:30

Men en ny vejledning fra datilsynet, har jo ikke ændret loven. Der er ikke noget der er blevet ulovligt, som ikke også var det før vejledningen. Der er ikke noget, der burde overraske kombit. Ud over at vi i det offentlige har mangel på IT faglige kompetencer og et overskud af jurister og administratorer der stadig er opdraget i en ånd fra enevældens tid.

// Jesper

14
13. april kl. 08:02

Kan nogen oversætte, hvad denne passage i Kombits privatlivspolitik betyder?

"Videregivelse og overladelse: Personoplysningerne i CRM-løsningen overlades og overføres til Microsoft. Overførslen af personoplysninger til Microsoft hviler på de såkaldte Standard Contractual Clauses. Personoplysningerne i vores metadatabase overlades til InfraTeam."https://kombit.dk/content/kombits-privatlivspolitik-test

"Overlades"? Hvad betyder det - sådan rent juridisk? I mine ører lyder "overladelse" som noget med at give ejerskab over, og selv slippe tøjlerne helt - men det kan da vel ikke være rigtigt?

Hvilke rettigheder får databehandlere over data i forbindelse med "Videregivelse"/"Overførsel"/"Overladelse"?

19
13. april kl. 23:27

Videregivelse, overladelse og intern deling - den skelnen eksisterer kun i dansk retspraksis. I GDPR betegnes de alle: "overførsel". Det er dog ikke en helt dum skelnen, da den tilføjer præcision: Overladelse er en overførsel til en databehandler, videregivelse er til en tredjepart.

15
13. april kl. 09:20

Det vigtigste i den her kontekst er at overlades med sikkerhed er databehandling.

// Jesper

13
13. april kl. 07:12

Godmorgen. Jeg bliver her til morgen mødt med denne tekst, når jeg forsøger at kommentere på dagens artikel om problemer med MITID-overgangen, https://www.version2.dk/artikel/sociale-medier-koger-mitid-er-en-katastrofal-brugeroplevelse .

"Debatten Din e-mail skal bekræftes inden du kan deltage i debatten."

Ingen yderligere forklaring om, hvor man skal bekræfte - intet åbenlyst krav om særabonnement. Jeg er logget ind på prøveabonnement, og kan jo altså godt kommentere her - men ikke der.

Er der nogen, der ved, hvad det drejer sig om, og hvor man bekræfter sin e-mail? Er det bare en fejl i forbindelse med lige den artikel, eller noget man er nødt til at forholde sig til? Jeg kan ikke lige finde et link til supporten (sikkert min fejl).

17
Udviklingsdirektør -
13. april kl. 12:05
Udviklingsdirektør

Hej Anne-Marie, der var en fejl på artiklen, så man ikke kunne kommentere. Det er fixet nu. Hvis det skulle blive nødvendigt en anden gang er mailen til support her: support@ing.dkMvh. Mette

18
13. april kl. 12:10

Tak for svar, Mette. Kan se, at det er fixet nu. Og supportadressen burde jeg måske have kunnet gætte mig til :-)

10
12. april kl. 17:55

Hvordan forholder det sig i grunden med Regionernes aftale med Microsoft? 🤔

9
12. april kl. 13:38

Det at skifte it-systemer er ikke bare ligetil.

Det er ganske ligetil, hvis man beskriver sine systemer med FC. Openstack og skriver tests ttil sit IaC.

Mange undrede sig over de beslutninger om at AWS kunne støtte op om GDPR bedre end Microsoft.

Nu kommer det ikke overraskende frem at det kan de ikke. På trods af hvad de lovede. 🤷‍♂️

6
12. april kl. 11:42

»Det at skifte it-systemer er ikke bare ligetil. Det har store økonomiske og administrative konsekvenser, for hvis det bare var lige som at knipse med fingrene, og der var alternativer, som var lige så gode og lige så billige, så have alle jo gjort det

Sikken noget fis - Jeg må informere MANGE store kunder, om at de priser de betaler for deres cpu tunge opgaver hos AWS, Azure mv. - koster 1/10 af den pris, hvis man lejer servere hos Hetzner med tilsvarende specs.. Så det kan sagtens gøres billigere. Du kan sågar lave auto-scaling hos hetzner (også automatiseret - det er bare ikke så udbredt, så man skal selv finde de rette terraform moduler for at gøre det) - og ellers ved jeg at mit firma meget gerne vil udvikle et Kubernetes autoscaler modul (eller plugin til eksisterende) - der bruger de moduler Hetzner har frigivet, til at anvende Hetzner cloud api - og lave autoscaling.

Man kan helt sikkert meget af det samme hos andre europæiske cloud providere - men det hører man bare ikke så meget om desværre.

21
19. april kl. 07:18

hej Klavs. hvor arbejder du og kan du evt uddybe det med prisen, for det er super essentielt da det netop er det argument som det off bruger når de skal forsvare deres brug af AWS (som selv om det var lovligt at bruge, nok kan karanteriseres som uetisk at bruge). et andet argument er at AWS har så mange gode apps/services.... skriv evt til mig på pernille@dataethics.eu

5
12. april kl. 11:11

Det er helt åbenlyst at selvfølgeligt må man ikke indgå en kontrakt, hvor overlevering af data umiddelbart kan initieres af udenforstående myndigheder.

Kom nu bare igang med få flyttet vores data i sikkerhed!

Det er simpelthen pinligt som KL og Kombit udstiller deres inkompetence.

Og det er virkeligt frastødende, som Pernille Jørgensen bilder sig ind at hun kan tale på alles vegne.

4
12. april kl. 07:30

Sorry - der gik jeg i fælden igen. Umiddelbart forsvandt første kommentar sporløst op i clouden - men det gjorde den så åbenbart alligevel ikke....

3
12. april kl. 07:29

PS: Hvornår hører vi nyt om Sundhedsplatformen? For der er det jo for længst kommet frem, at man lystigt sender data over atlanten til support. Eller er man holdet op med det?

2
12. april kl. 07:27

PS: Hvornår hører vi nyt om, hvordan Sundhedsplatformen vil klare denne misere? For der er det jo for længst kommet frem, at man lystigt sender vore data over atlanten, i hvert fald til support. Eller er man holdt helt op med det?

1
12. april kl. 07:25

"I sit spørgsmål til tilsynet vil KOMBIT nemlig have at vide, om overførsel af persondata til et tredjeland nogensinde kan karakteriseres som utilsigtet, hvis der i standardkontrakten med en leverandør er angivet nogle undtagelser, hvor den slags overførsler kan finde sted. Hvis det er nødvendigt for levering af visse specifikke AWS services valgt af servicebrugeren. Hvis det er nødvendigt for at overholde lovgivning eller bindende myndigheds anmodninger."

Helt ærligt - er det ikke et dumt spørgsmål? Fremgår det ikke tydeligt, at der er tale om services, som servicebrugeren direkte har valgt? Hvordan skulle det kunne være "utilsigtet" - det ville jo kunne omfatte stort set alt? Og hvordan vil det kunne være utilsigtet, hvis man på forhånd ved, at det kan være nødvendigt, i visse, særlige tilfælde, at overlevere data til myndigheder, og udtrykkeligt accepterer dette?

"KOMBIT - og dermed andre myndigheder og firmaer, der bruger AWS eller lignende tjeneter - kan altså ikke gemme sig bag, at man ellers i videst mulig udstrækning har forsøgt at sikre sig mod overførsler, for eksempel ved at kræve, at data bliver bevaret i EU."

Nej, for det har man jo ikke - det er det sædvanlige spin:

  1. Man har selv skabt en kæmpe kattelem for "levering af specifikke AWS services valgt at servicebrugeren".
  2. Man har accepteret, at fremmede myndigheder kan kræve data udleveret. Hvad hvis amerikanerne vedtog en lov, som simpelthen krævede alle europæiske data udleveret? Kan man ikke fatte, at man ved den nævnte formulering jo direkte underlægger danske data amerikansk lov?

Man får indtryk af, at alle jurister i hele den offentlige sektor lige nu er beskæftiget med at gøre tech-giganternes beskidte arbejde med at finde eller formulere kattelemme og smuthuller, som kan bruges til at undergrave GDPR. De burde i stedet være i gang med at finde løsninger, som krævede, at tech-giganterne underkaster sig dansk/europæisk lovgivning, i stedet for omvendt. Hvilket vel dybest set er umuligt, da der her er en konflikt mellem dansk/europæiske lovgivning og amerikansk lovgivning.

Det er fuldstændigt som det, Zuboff beskriver: Hvordan tech-gigangterne simpelthen gang på gang løber stormløb på lovgivningens grænser, som desværre hele tiden er bagud for de enorme problemstillinger, digitaliseringen skaber. Når de så støder på modstand, foretager de planmæssig, forudset tilbagetrækning i en periode, mens de arbejder på næste fremstød for at prøve nye smuthuller af. Og nu er vore offentligt betalte offentlige jurister så i gang med at gøre giganternes beskidte arbejde med at finde smuthullerne til erobring af retten til at stjæle andre menneskers privatliv - de behøver ikke en gang at gøre det selv, selv om de har nogen af verdens dygtigste og højest betalte jurister (men mit gæt er, at de er særdeles behjælpelige i kulisserne med at hjælpe Kombit og andre med at formulere Kombits og andres nye forsøg på at omgå GDPR).

Det er grove løjer! Topembedsmænd agerer 5. kolonne/trojanske heste for fremmende (private) magter, som arbejder målrettet på at overtage magten over privatlivet og beslutningsprocesserne i kulisserne - og noget kan tyde på, at de allerede er tæt på at have den, siden det er så svært for Danmark at sætte foden ned.

Det kunne være interessant med en liste over, hvor mange offentlige topfolk/embedsfolk, som har benyttet svingdøren til tech-giganterne de seneste 10 år.

7
12. april kl. 13:25

Man har accepteret, at fremmede myndigheder kan kræve data udleveret. Hvad hvis amerikanerne vedtog en lov, som simpelthen krævede alle europæiske data udleveret? Kan man ikke fatte, at man ved den nævnte formulering jo direkte underlægger danske data amerikansk lov?

Faktisk anerkender EU tredjelande som har en GDPR kompatibel lovgivning selvom disse lande til enhver tid kunne ændre lovgivning til noget der ikke er GDPR kompatibelt. Så pragmatisk er man trods alt. Problemet med USA er at de allerede har vedtaget en lov i stil med det citerede og dermed eksplicit ikke er GDPR kompatible. Amerikanerne er ikke villige til at ændre deres lovgivning fordi de har lang tradition for at dele mennesker op i to kategorier: amerikanske statsborgere og "de andre". Sidstnævnte gruppe har ingen rettigheder og man er ikke villige til at give europæerne, eller nogen, samme rettigheder som amerikanske statsborgere.

8
12. april kl. 13:34

Faktisk anerkender EU tredjelande som har en GDPR kompatibel lovgivning selvom disse lande til enhver tid kunne ændre lovgivning til noget der ikke er GDPR kompatibelt.

Ok - gad vide, hvor lang tid, der så går, inden nogen udnytter det?

Men som jeg læser Kombits forsøg på en kontrakt, så bøjer man sig simpelthen for amerikanernes lovgivning, og accepterer, at vi som ikke-amerikanere har færre rettigheder end amerikanere ift. vore egne data. Det er da et knæfald, der vil noget.

11
12. april kl. 20:31

lige en korrektion: vi har ikke færre rettigheder end amerikanerne Vi er ligestillede, den amerikanske lovgivning tilsiger udlevering af data uanset ophav

12
12. april kl. 23:41

lige en korrektion: vi har ikke færre rettigheder end amerikanerne Vi er ligestillede, den amerikanske lovgivning tilsiger udlevering af data uanset ophav

Det er ikke korrekt. Amerikanere har rettigheder der beskytter dem imod aflytning uden dommerkendelse med mere. Der er frit spil for at spionere imod udlændinge. Det siges at efterretningstjenesterne bytter statsborgere, så eksempelvis amerikanerne kan bede briterne om oplysninger om amerikanske statsborgere, som amerikanerne ikke selv må indhente.