GDPR vs Cloud

I foråret valgte jeg at lave en serie af blogindlæg under skriften “GDPR vs moderne hjemmesider”:

• GDPR vs hjemmesider (8. marts 2022)
• GDPR vs hjemmesider: Holdninger, jura og gråzoner (7. april 2022)
• GDPR vs hjemmesider: Tracking under overfladen (3. maj 2022)
• GDPR vs hjemmesider: Konklusioner og fremtidsperspektiver (1. august 2022)

Hvis du ikke orker at læse de mange sider, kan du eventuelt blot lytte til dette podcast-interview med Jacob fra Privacy League, hvor vi gennemgår hovedkonklusionerne. 

Nu har jeg så besluttet at tage er andet emne op, hvor der tillige synes at foregå et fundamentalt “opgør” mellem juraen og teknologien, nemlig Cloud-løsninger. 

2022 blev året, hvor GDPR for alvor ramte “Skyen”

Det er næppe gået manges næse forbi, at der pt. er en del ”konflikter” mellem reglerne i GDPR på den ene side, og på den anden mange af de cloudløsninger der findes på markedet i dag. 

Til illustration har det danske datatilsyn haft følgende nyheder med fokus på cloud siden 1. januar 2022:

• Ny vejledning og ekspertgruppe om brug af cloud (09-03-2022)
• Vedrørende tilsigtede eller utilsigtede overførsler til tredjelande (29-03-2022)
• Datatilsynet udpeger medlemmer til ekspertgruppe om cloud (20-05-2022)
• Om begrebet ”dataeksportør” ( 08-06-2022)
• Gå-hjem-møde om brugen af cloudservices (09-06-2022)
• Datatilsynet åbner cloud-tilsyn hos to offentlige myndigheder (14-06-2022)
• Datatilsynet indleder cloud-tilsyn hos to private virksomheder  (06-07-2022)
• Datatilsynet nedlægger behandlingsforbud i Chromebook-sag (14-07-2022 )
• Datatilsynets spørgeskema ved tilsyn med cloud (01-08-22)
• Datatilsynet fastholder forbud i Chromebook-sag (18-08-22)
• Chromebooks: Datatilsynet suspenderer forbud og giver påbud om lovliggørelse (08-09-2022)
• Spørgsmål og svar om cloud (udateret)

Det har været svært længe

Ret beset er der dog tale om et ”opgør”, der har været i gang meget længe - det er der bare ikke ret mange, der har lagt mærke til. 

Jeg var i 2012 vejleder på en kandidatafhandling med overskriften ”Persondataloven og cloud computing”, og den studerende havde skrevet ca. 80 siders juridisk analyse af dette emne. De primære kilder til afhandlingens var en række afgørelser afsagt af det danske datatilsyn i de foregående år, herunder: 

• Odense Kommune/Google Apps (2010) (+ opfølgning fra 2011) 
• Dropbox (2011)
• Microsoft Office 365 (2012) 
• KL’s køreprøvesystem/Microsoft (2012)
• IT-universitetet/Microsoft (2012)

En anden væsentlig kilde i kandidatafhandlingen fra 2012 var en spritny vejledning  fra Artikel 29-gruppen/WP29  (i dag: EDPB) om ”Cloud Computing”.

Når man sidder her i 2022, og læser Helsingør-afgørelserne og Datatilsynets nye spørgeramme med +40 spørgsmål relateret til brugen af cloudløsninger, er det slående, hvor mange af temaerne der går igen fra vejledningen i 2012. Vejledningen fra ”WP29” fremhævede bl.a. følgende udfordringer i samspillet mellem persondatadirektivet og brugen af cloudløsninger (mine fremhævninger):

“By committing personal data to the systems managed by a cloud provider, cloud clients may no longer be in exclusive control of this data and cannot deploy the technical and organisational measures necessary to ensure the availability, integrity, confidentiality, transparency, isolation, intervenability and portability of the data. This lack of control may manifest itself in the following manner: 

• […].
• Lack of confidentiality in terms of law enforcement requests made directly to a cloud provider: personal data being processed in the cloud may be subject to law enforcement requests from law enforcement agencies of the EU Member States and of third countries. There is a risk that personal data could be disclosed to (foreign) law enforcement agencies without a valid EU legal basis and thus a breach of EU data protection law would occur. 
• Lack of intervenability due to the complexity and dynamics of the outsourcing chain: The cloud service offered by one provider might be produced by combining services from a range of other providers, which may be dynamically added or removed during the duration of the client’s contract […]. 
• Lack of intervenability (data subjects’ rights): A cloud provider may not provide the necessary measures and tools to assist the controller to manage the data in terms of, e.g., access, deletion or correction of data. 
• Lack of isolation: A cloud provider may use its physical control over data from different clients to link personal data. If administrators are facilitated with sufficiently privileged access rights (high-risk roles), they could link information from different clients. 
• Lack of information on processing (transparency). […].  Chain processing is taking place involving multiple processors and subcontractors. 
• Personal data are processed in different geographic locations. […].  Third countries may not provide an adequate level of data protection and transfers may not be safeguarded by appropriate measures (e.g., standard contractual clauses or binding corporate rules) and thus may be illegal.”

Det var mange af de samme udfordringer, som var blevet fremhævet af det danske datatilsyn i sagerne fra 2010-2012 nævnt ovenfor, og som bl.a. førte til, at Odense Kommune ikke fik tilladelse til at bruge Googles cloudløsninger. Datatilsynet afsluttede således Odense Kommune-sagen med følgende bemærkninger (mine fremhævninger):

”Som anført indledningsvist er det Datatilsynets opfattelse, at der på en række punkter er problemer i forhold til kravene i persondataloven og sikkerhedsbekendtgørelsen. Det fører til, at Datatilsynet ikke er enig i Odense Kommunes vurdering af, at fortrolige og følsomme oplysninger om elever og forældre kan behandles i Google Apps.

Sponseret indhold

Microsoft rykker forretningssoftware op i ny liga med AI – og det sker fra Lyngby

AI

Datatilsynet modtager som nævnt gerne sagen til fornyet udtalelse, hvis Odense Kommune arbejder videre med sagen og søger efter løsninger på de påpegede problemstillinger.

Det er i øvrigt Datatilsynets opfattelse, at beslutningen om, hvorvidt en teknisk løsning af denne karakter skal anvendes på dette område, tillige bør underkastes en vurdering i kommunens politiske organer.

Datatilsynet foretager sig på det foreliggende grundlag ikke yderligere i sagen.”

… og det er stadig svært

Selvom det således er mere end et årti siden alle disse udfordringer blev bragt til overfladen, tyder alt på, at det i praksis stadig er meget, meget svært. 

Sponseret indhold

Stop med at spørge om NIS2 gælder for dig – men spørg hellere, hvordan du kommer i gang med ISO 27001

ISO 27001

En af forklaringerne er selvfølgelig, at EU-Domstolen i 2020 med Schrems II-afgørelsen gjorde særligt ét emne meget aktuelt, nemlig adgang til EU-data fra USA. Det emne kom meget hurtigt til at fylde rigtig meget, og jeg var selv en af “synderne” med flere blogindlæg i kølvandet på afgørelsen (fx dette og dette). 

Men: Som det er fremgået ovenfor, er overførsler til USA langt fra den eneste “konflikt” mellem GDPR’s krav og den måde cloudteknologien og -branchen har udviklet sig på. Dermed er der heller ikke tale om udfordringer som går væk med et trylleslag, når/hvis en politisk aftale imellem EU og USA på et tidspunkt kommer på plads. 

Hvis vi blot tager udgangspunkt i Helsingør/Chromebooks-sagen (som jeg i et indlæg i august døbte Datatilsynets "(måske) mest principielle afgørelse nogensinde"), og ser bort fra overførelsesproblematikken, så blotlagde Chromebooks-sagen også følgende udfordringer:

• Cloud er en ny og kompleks teknologi, som kræver en grundig risikovurdering, og ofte også en egentlig ”konsekvensanalyse”, jf. GDPR artikel 35. 
• Denne risikovurdering forudsætter, at man som dataansvarlig har det fulde overblik over hvilke data der anvendes i løsningen og hvordan de bliver behandlet.
• Risikovurderingen skal omfatte eventuelle underleverandører og skal gennemføres forud for indgåelsen af en databehandleraftale jf. GDPR artikel 28. 
• Databehandleraftalen skal l sikre, at alle underleverandører som minimum underlægges samme krav som databehandleren. 
• I det omfang cloudleverandøren benytter data til egne formål, skal dette ske i overensstemmelse med GDPR’s krav - men hvem er ansvarlig for at påse dette?
• Generelt fremgår det klart og tydeligt af afgørelserne, at man som cloudkunde bør læse cloudleverandørenes juridiske vilkår grundigt - også selvom det i Googles tilfælde kræver at man læser +10 forskellige dokumenter og +100 sider. 

Hertil kommer andre eksempler på, hvor vanskeligt det er: 

• Min IT-advokat-kollega Emil fra DLA Piper skrev i sommers et indlæg om de misforståelser der er opstået i relation til “faktiske” og “juridiske” overførsler ud af EU.
• Jeg fik for nogle uger siden tilsendt svar fra 19 danske kommuner omkring deres håndtering af Googles cloudløsninger, og uden at træde nogen alt for meget over tæerne kan jeg vist godt sige, at grundigheden af deres risikovurderinger og mitigerende foranstaltninger var meget svingende… (link til ComplianceTech-artikel, bag betalingsmur)
• ”Det bliver hårdt for de danske organisationer af efterleve alle de elementer, som Datatilsynet lægger op til med sine cloud-spørgsmål. Læs vurderingen fra Henning Mortensen, formand for Rådet for Digital Sikkerhed.” (link til artikel i ComputerWorld artikel fra august, også bag betalingsmur)

Kommende indlæg

Meget tyder således på, at vi går en fremtid i møde, hvor vi for alvor er nødt til at adressere de mange udfordringer, som har ”spøgt i baggrunden” i mere end 10 år. Så, mens vi venter på at Datatilsynet kommer med flere afgørelser om lovlig og ulovlig brug af cloudløsninger, har jeg tænkt mig at skrive et par indlæg, hvor jeg graver et par spadestik dybere i emnet. 

Umiddelbart har jeg selv overvejet at komme ind på følgende potentielle emner: 

• Hvad er “Cloud Computing” - fra et juridisk perspektiv?
• Hvornår er der tale om "en overførsel ud af EU" - og hvornår er der ikke?
• Datatilsynets nye cloud-spørgeskema, som hurtigt fører over til spørgsmål om cloud leverandørens dokumentation, herunder de to nye cloud-adfærdskodekser, som er blevet godkendt af EDPB hhv. EDPB og det franske datatilsyn (link og link)
• Cloud-leverandørers behandling af data til egne formål og heraf følgende dataansvar
• Den stigende modstand mod EDPB’s og nogle datatilsyns afvisning af en ”risikobaseret tilgang” ift. overførsler – herunder senest i form af en meget interessant artikel fra Lokke Moerel, (”Professor of Global ICT Law at Tilburg University and a Dutch Cyber Security Council member.”), hvori der fremsættes overbevisende argumenter for at forordningens artikel 24 rent faktisk understøtter en mere risikobaseret tilgang til overførsler. 
• Og måske også andre emner såsom den fortsatte udvikling af Helsingør-sagen, Microsofts nye databehandleraftale, det norske ”slagsmål” mellem deres svar på Digitaliseringsstyrelsen og datatilsynet, seneste nyt ift. det ambitiøse "EU cloud projekt" kaldet "Gaia X" osv. 

Input er velkomne. Jeg er dog fra starten nødt til at forventningsafstemme - jeg kommer nok til til at skrive 2-3 indlæg, og jeg kommer helt sikkert ikke til at servere et “quickfix” på 12 års “clashes” mellem databeskyttelsesregler og cloudteknologi!