Dette indlæg er alene udtryk for skribentens egen holdning.

GDPR vs Cloud

25. oktober kl. 05:005
GDPR vs Cloud
Illustration: Privatfoto.
Artiklen er ældre end 30 dage

I foråret valgte jeg at lave en serie af blogindlæg under skriften “GDPR vs moderne hjemmesider”:

Hvis du ikke orker at læse de mange sider, kan du eventuelt blot lytte til dette podcast-interview med Jacob fra Privacy League, hvor vi gennemgår hovedkonklusionerne. 

Nu har jeg så besluttet at tage er andet emne op, hvor der tillige synes at foregå et fundamentalt “opgør” mellem juraen og teknologien, nemlig Cloud-løsninger. 

 

2022 blev året, hvor GDPR for alvor ramte “Skyen”

Det er næppe gået manges næse forbi, at der pt. er en del ”konflikter” mellem reglerne i GDPR på den ene side, og på den anden mange af de cloudløsninger der findes på markedet i dag. 

Artiklen fortsætter efter annoncen

Til illustration har det danske datatilsyn haft følgende nyheder med fokus på cloud siden 1. januar 2022:

 

Det har været svært længe

Ret beset er der dog tale om et ”opgør”, der har været i gang meget længe - det er der bare ikke ret mange, der har lagt mærke til. 

Jeg var i 2012 vejleder på en kandidatafhandling med overskriften ”Persondataloven og cloud computing”, og den studerende havde skrevet ca. 80 siders juridisk analyse af dette emne. De primære kilder til afhandlingens var en række afgørelser afsagt af det danske datatilsyn i de foregående år, herunder: 

En anden væsentlig kilde i kandidatafhandlingen fra 2012 var en spritny vejledning  fra Artikel 29-gruppen/WP29  (i dag: EDPB) om ”Cloud Computing”.

Når man sidder her i 2022, og læser Helsingør-afgørelserne og Datatilsynets nye spørgeramme med +40 spørgsmål relateret til brugen af cloudløsninger, er det slående, hvor mange af temaerne der går igen fra vejledningen i 2012. Vejledningen fra ”WP29” fremhævede bl.a. følgende udfordringer i samspillet mellem persondatadirektivet og brugen af cloudløsninger (mine fremhævninger):

By committing personal data to the systems managed by a cloud provider, cloud clients may no longer be in exclusive control of this data and cannot deploy the technical and organisational measures necessary to ensure the availability, integrity, confidentiality, transparency, isolation, intervenability and portability of the data. This lack of control may manifest itself in the following manner: 

  • […].
  • Lack of confidentiality in terms of law enforcement requests made directly to a cloud provider: personal data being processed in the cloud may be subject to law enforcement requests from law enforcement agencies of the EU Member States and of third countries. There is a risk that personal data could be disclosed to (foreign) law enforcement agencies without a valid EU legal basis and thus a breach of EU data protection law would occur. 
  • Lack of intervenability due to the complexity and dynamics of the outsourcing chain: The cloud service offered by one provider might be produced by combining services from a range of other providers, which may be dynamically added or removed during the duration of the client’s contract […]. 
  • Lack of intervenability (data subjects’ rights): A cloud provider may not provide the necessary measures and tools to assist the controller to manage the data in terms of, e.g., access, deletion or correction of data. 
  • Lack of isolation: A cloud provider may use its physical control over data from different clients to link personal data. If administrators are facilitated with sufficiently privileged access rights (high-risk roles), they could link information from different clients. 
  • Lack of information on processing (transparency). […].  Chain processing is taking place involving multiple processors and subcontractors. 
  • Personal data are processed in different geographic locations. […].  Third countries may not provide an adequate level of data protection and transfers may not be safeguarded by appropriate measures (e.g., standard contractual clauses or binding corporate rules) and thus may be illegal.”

Det var mange af de samme udfordringer, som var blevet fremhævet af det danske datatilsyn i sagerne fra 2010-2012 nævnt ovenfor, og som bl.a. førte til, at Odense Kommune ikke fik tilladelse til at bruge Googles cloudløsninger. Datatilsynet afsluttede således Odense Kommune-sagen med følgende bemærkninger (mine fremhævninger):

”Som anført indledningsvist er det Datatilsynets opfattelse, at der på en række punkter er problemer i forhold til kravene i persondataloven og sikkerhedsbekendtgørelsen. Det fører til, at Datatilsynet ikke er enig i Odense Kommunes vurdering af, at fortrolige og følsomme oplysninger om elever og forældre kan behandles i Google Apps.

Datatilsynet modtager som nævnt gerne sagen til fornyet udtalelse, hvis Odense Kommune arbejder videre med sagen og søger efter løsninger på de påpegede problemstillinger.

Det er i øvrigt Datatilsynets opfattelse, at beslutningen om, hvorvidt en teknisk løsning af denne karakter skal anvendes på dette område, tillige bør underkastes en vurdering i kommunens politiske organer.

Datatilsynet foretager sig på det foreliggende grundlag ikke yderligere i sagen.”

 

… og det er stadig svært

Selvom det således er mere end et årti siden alle disse udfordringer blev bragt til overfladen, tyder alt på, at det i praksis stadig er meget, meget svært. 

En af forklaringerne er selvfølgelig, at EU-Domstolen i 2020 med Schrems II-afgørelsen gjorde særligt ét emne meget aktuelt, nemlig adgang til EU-data fra USA. Det emne kom meget hurtigt til at fylde rigtig meget, og jeg var selv en af “synderne” med flere blogindlæg i kølvandet på afgørelsen (fx dette og dette). 

Men: Som det er fremgået ovenfor, er overførsler til USA langt fra den eneste “konflikt” mellem GDPR’s krav og den måde cloudteknologien og -branchen har udviklet sig på. Dermed er der heller ikke tale om udfordringer som går væk med et trylleslag, når/hvis en politisk aftale imellem EU og USA på et tidspunkt kommer på plads. 

Hvis vi blot tager udgangspunkt i Helsingør/Chromebooks-sagen (som jeg i et indlæg i august døbte Datatilsynets "(måske) mest principielle afgørelse nogensinde"), og ser bort fra overførelsesproblematikken, så blotlagde Chromebooks-sagen også følgende udfordringer:

  • Cloud er en ny og kompleks teknologi, som kræver en grundig risikovurdering, og ofte også en egentlig ”konsekvensanalyse”, jf. GDPR artikel 35. 
  • Denne risikovurdering forudsætter, at man som dataansvarlig har det fulde overblik over hvilke data der anvendes i løsningen og hvordan de bliver behandlet.
  • Risikovurderingen skal omfatte eventuelle underleverandører og skal gennemføres forud for indgåelsen af en databehandleraftale jf. GDPR artikel 28. 
  • Databehandleraftalen skal l sikre, at alle underleverandører som minimum underlægges samme krav som databehandleren. 
  • I det omfang cloudleverandøren benytter data til egne formål, skal dette ske i overensstemmelse med GDPR’s krav - men hvem er ansvarlig for at påse dette?
  • Generelt fremgår det klart og tydeligt af afgørelserne, at man som cloudkunde bør læse cloudleverandørenes juridiske vilkår grundigt - også selvom det i Googles tilfælde kræver at man læser +10 forskellige dokumenter og +100 sider. 

Hertil kommer andre eksempler på, hvor vanskeligt det er: 

 

Kommende indlæg

Meget tyder således på, at vi går en fremtid i møde, hvor vi for alvor er nødt til at adressere de mange udfordringer, som har ”spøgt i baggrunden” i mere end 10 år. Så, mens vi venter på at Datatilsynet kommer med flere afgørelser om lovlig og ulovlig brug af cloudløsninger, har jeg tænkt mig at skrive et par indlæg, hvor jeg graver et par spadestik dybere i emnet. 

Umiddelbart har jeg selv overvejet at komme ind på følgende potentielle emner: 

  • Hvad er “Cloud Computing” - fra et juridisk perspektiv?
  • Hvornår er der tale om "en overførsel ud af EU" - og hvornår er der ikke?
  • Datatilsynets nye cloud-spørgeskema, som hurtigt fører over til spørgsmål om cloud leverandørens dokumentation, herunder de to nye cloud-adfærdskodekser, som er blevet godkendt af EDPB hhv. EDPB og det franske datatilsyn (link og link)
  • Cloud-leverandørers behandling af data til egne formål og heraf følgende dataansvar
  • Den stigende modstand mod EDPB’s og nogle datatilsyns afvisning af en ”risikobaseret tilgang” ift. overførsler – herunder senest i form af en meget interessant artikel fra Lokke Moerel, (”Professor of Global ICT Law at Tilburg University and a Dutch Cyber Security Council member.”), hvori der fremsættes overbevisende argumenter for at forordningens artikel 24 rent faktisk understøtter en mere risikobaseret tilgang til overførsler. 
  • Og måske også andre emner såsom den fortsatte udvikling af Helsingør-sagen, Microsofts nye databehandleraftale, det norske ”slagsmål” mellem deres svar på Digitaliseringsstyrelsen og datatilsynet, seneste nyt ift. det ambitiøse "EU cloud projekt" kaldet "Gaia X" osv. 

Input er velkomne. Jeg er dog fra starten nødt til at forventningsafstemme - jeg kommer nok til til at skrive 2-3 indlæg, og jeg kommer helt sikkert ikke til at servere et “quickfix” på 12 års “clashes” mellem databeskyttelsesregler og cloudteknologi!

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
25. oktober kl. 15:17

Man kan vel generalisere problemet til at Dataansvarlige inden for EU anvender enhver form for digital service uden for EU, hvor persondata udveksles.

Cloud, hvad-end-det-så-er-defineret-som, er kun et udsnit af de servicetyper, som konsumerer persondata.

Hvis en amerikansk virksomhed hoster f.eks. en flad font-fil på en server de har stående i kælderen, som dermed ikke er cloud i nogen forstand, og den font inkluderes på et EU ejet og iøvrigt hostet website:

Så sendes IP adresse og user agent for hver besøgende borger til den amerikanske virksomhed.

På vegne af instruks fra dataansvarlig.

Det er persondata, og så ruller GA konsekvenserne.

Hvis den selvsamme flade fil benyttes af andre websites, så kan virksomheden etablere fingerprinting og profilering.

At diverse transatlantiske services så rent faktisk bliver fodret med al trafik til MitId, skoleelevers persondata, Ingeniørens surveys, osv osv. -det er vel kun scenarier som er grellere, men i princippet samme problem?

4
25. oktober kl. 14:53

Det kunne være virkelig spændende hvis du kan prøve at adskille SaaS fra PaaS og IaaS cloud. Når helsingør sagen (og lignende) ruller, så er det primært SaaS produkter som er fremhævet. Min oplevelse er dog at den store problemstilling ligger på Azure/AWS/GCP PaaS og IaaS fordi her er det lidt mere broget i hvad der er hvad i forhold til den juridiske snak.

3
25. oktober kl. 14:19

Trump's 'Cloud act' gjorde det muligt for amerikanske myndigheder at kræve adgang til kunde data fra enhver virksomhed der er repræsenteret på amerikansk jord - også selvom dataene slet ikke ER i USA, men måske bare kan hentes til USA. Schremms2 var netop fortolkningen af Cloud Act: Europæisk data skal ikke i nærheden af USA. Det er også årsagen til at Microsoft, google, amazon, Facebook oma nu bygger datacentre i USA. Misæren er at det ikke engang er en sikring af data mod USA.

Men myndighedernes adgang til data er endda det mindste problem i mine øjne; Det er i langt højere grad sikring af data

Faktisk bruger vi jo en risikobaseret tilgang til databehandling herhjemme, når en risikovurdering skal være udgangspunkt for om dataejere skal informeres!! Hvad??! spørger nogen, men sådan var det med mine sundhedsdata i patientdatastyrelsen, efter de tørt og køligt kunne svare "Ja" til at mine data var blevet hacket i en aktindsigtbegæring.

2
25. oktober kl. 12:05

Tusind tak Jesper, for at grave dig ned i det på vores alles vegne!

1
25. oktober kl. 11:51

Tak Jesper.

Generelt synes jeg at der mangler en debat om etik og moral, i forbindelse med at overføre andre menneskers personoplysninger, til misbrug i f.eks. USA. Måske skal jeg bare selv skrive lidt om det ...

En anden vigtig vinkel er digital suverænitet, som f.eks. GAIA-X taler om. Det kunne være fint at grave sig ned i hvad det reelt betyder.

Persondatajura er naturligvis vigtig, men er de to punkter jeg nævner vigtigere? Det kunne være spændende at vide hvad folk mener.