GDPR vs cloud: Her er de fem største udfordringer

Før jul skrev jeg et indlæg med overskriften ”GDPR vs. cloud” , hvori jeg kort præsenterede baggrunden for, at det i de senere år er blevet så ”compliancetungt” at bruge cloudløsninger indenfor rammerne af GDPR. Alene indenfor den seneste måned er der kommet to dokumenter, som tegner et dystert billede af mulighederne for lovligt at bruge cloudløsninger:

• Kort før jul offentliggjorde de tyske datatilsyn en fælles rapport med fokus på Microsoft Office 365, og i en udtalelse til Version2 opsummerede en talsperson rapporten som ”det første skridt mod at minde alle om, at man ikke kan bruge Microsoft 365 på en lovlig måde.”
• Og her i midten af januar kom EDPB så med en rapport med overskriften” Coordinated Enforcement Action, use of cloud-based services by the public sector”, der også må siges at være nedslående læsning for de danske myndigheder, der gerne (fortsat) vil bruge cloudløsninger.

Dette er mit indlæg nr. 2 i serien, og i det følgende kan du læse om:

• Hvad er ”Cloud Computing” – fra et juridisk perspektiv?
• Top 5 grunde til at det er svært:
  • Nr. 1: Teknologien udvikler sig (som sædvanligt) hurtigere end juraen
  • Nr. 2: Landegrænser på internettet
  • Nr. 3:  Cloudleverandører er ”databehandlere” (eller er de?)
  • Nr. 4: Den uklare grænse for hvad der udgør “personoplysninger”
  • Nr. 5: Det handler om GDPR – men også om kontrakter, teknologi og sikkerhed

Som det fremgår vil dette indlæg handle mest om alle problemerne, men jeg lover, at jeg i næste indlæg vil vende blikket mod løsningerne. I øvrigt er også dette indlæg, vanen tro, fyldt med links til videre læsning alt efter interesse (og tid).

Hvad er ”Cloud Computing” – fra et juridisk perspektiv?

Før vi dykker dybere ned i emnet, er det relevant lige at få styr på begreberne. For hvad dækker begrebet ”Cloud Computing” egentlig over fra et juridisk perspektiv – og har det nogen betydning?

Hvis vi starter med det sidste først: Ja, det har rent faktisk en betydning. Det er således i vidt omfang de særlige egenskaber ved cloud-teknologien og de bagvedliggende forretningsmodeller, som er roden til de fleste af de udfordringer, som uddybes i det følgende. 

Hvis vi starter i den praktiske/kommercielle ende, så kan man passende skele til Microsofts forklaring på begrebet:

”Cloudcomputing er helt enkelt levering af computertjenester – herunder servere, lager, databaser, netværk, software, analyse og intelligens – via internettet ("skyen"), så du får hurtigere adgang til ny innovation, fleksible ressourcer og stordriftsfordele. Du betaler typisk kun for de cloudtjenester, du bruger, og du kan dermed reducere dine driftsomkostninger, køre din infrastruktur mere effektivt og skalere i takt med udviklingen i din virksomhed.”

Vender vi dernæst blikket mod Datatilsynets vejledning om cloud fra marts 2022, fremgår der bl.a. følgende:

”Begrebet ”cloud” bruges overordnet om en model til at tilvejebringe standardiserede it-ressourcer, typisk på større decentrale samlinger af servere, der tilgås via internettet… 

”Cloudservices” er således en fællesbetegnelse for en bred vifte af forskellige services. Cloudservices kan både være dybt specialiserede services, der er skræddersyet til den enkelt organisation, og helt standardiserede produkter eller enkeltservices, der benyttes af mange kunder.

Cloud kan dermed antage mange former og hybrider i såvel leverancens omfang som cloudleverandørens og kundens opgave- og ansvarsfordeling. Det kan derfor ofte være vanskeligt at få et fuldstændigt overblik over den samlede leverancemodel, der bruges til levering af cloudservices. Eksempelvis kan aktørerne, der indgår i leverancemodellen, have hver sit eget løsningsfokus og aftalegrundlag. Dette er også oftest årsag til de komplekse databeskyttelsesretlige problemstillinger, der kan være forbundet med brug af cloud.”

I EDPB’s nye rapport med fokus på GDPR-faldgruber ved brug af cloud hos offentlige myndigheder (omtalt i indledningen) anvendes begrebet ”Clous Service Provider”, forkortet ”CSP”, øjensynligt uden nærmere konkretisering. 

SÅDAN TILTRÆKER DU IT-TALENTER TIL INDUSTRIEN

I øvrigt er det først i de senere år, at juraen for alvor har gjort sit indtog i cloud-verdenen, og af samme årsag har vi kun en begrænset historik, når det gælder lovgivningsmæssige definitioner på cloud. Meget tyder dog på, at vi går en fremtid i møde, hvor en række forskellige EU reglerEU-regler direkte eller indirekte kommer til at regulere cloud-teknologi, og det vil alt andet lige medfører en skarpere og mere ensartet juridisk definition. Så vidt jeg kan se, har EU pt. lagt sig fast på følgende definition i fx NIS2-direktivet og Digital Markets Act:                  

“‘cloud computing service’ means a digital service that enables on-demand administration and broad remote access to a scalable and elastic pool of shareable computing resources, including where such resources are distributed across several locations;”

Det uddybes også, hvad der nærmere ligger i begreberne “on-demand administration”, “broad remote access”, “scalable and elastic” og “shareable” i præambel 33. Eksempelvis konkretiseres følgende om “on-demand administration”:

“The capability of the cloud computing user to unilaterally self-provision computing capabilities, such as server time or network storage, without any human interaction by the cloud computing service provider could be described as on-demand administration.”

Sponseret indhold

Mange virksomheder har en farlig tilgang til NIS2

ISO 27001

Det bemærkes, at NIS2-direktivet dermed udtrykkeligt adskiller ”Cloud computing services” fra traditionel hosting, som defineres som følger:

“‘data centre service’ means a service that encompasses structures, or groups of structures, dedicated to the centralised accommodation, interconnection and operation of IT and network equipment providing data storage, processing and transport services together with all the facilities and infrastructures for power distribution and environmental control;”

EU-lovgivningen har ikke ”monopol” på at bestemme definitionen på cloud, men dels bygger EU’s definition ovenpå og har derfor mange ligheder med den amerikanske definition fra NIST, og dels må det forventes, at den under alle omstændigheder bliver dominerende i en EU kontekst – i hvert fald når jurister bliver indblandet. 

Top- 5 grunde til at det er svært

Velvidende at diskussionen om definitionen på "Cloud” formentlig vil fortsætte i årevis (ligesom tilfældet er for andre teknisk-relaterede begreber såsom ”anonymisering”, ”AI”, ”Smart Contract” mv), vil jeg nu forsøge at give mine bud på, hvorfor der i mere end 10 år har været ”sammenstød” mellem EU’s databeskyttelsesregler på den ene side, og så cloud computing på den anden. Her er mit bud på en ”Top 5”: 

Sponseret indhold

Microsoft rykker forretningssoftware op i ny liga med AI – og det sker fra Lyngby

AI

Nr. 1: Teknologien udvikler sig (som sædvanligt) hurtigere end juraen

Lige siden de første computere blev opfundet, har juraen halset langt bagefter. Til eksempel udtrykte USA's Office of Technology Assessment (OTA) det således i en rapport fra 1986:

“[o]nce a relatively slow and ponderous process, technological change is now outpacing the legal structure that governs the system, and is creating pressures on Congress to adjust the law to accommodate these changes”

I takt med at digitale teknologier er blevet mere og mere udbredt, har vi de seneste 50 år også set en stigende udbredelse af en helt ny retsdisciplin med ét sigte, nemlig at agere ”isbryder” for retssystemet og hjælpe retssystemet med at tilpasse sig i kølvandet på fremkomsten af nye teknologier. I USA kaldes denne juridiske disciplin oftest for ”cyberlaw” eller ”law and technology”, hvorimod vi i Danmark har arbejdet med emnet under overskrifterne ”EDB-ret” og senest ”It-ret”. Og det er også årsagen til, at der i Danmark findes en forening ved navn Danske IT-advokater.

 Og hHvis vi så vender blikket tilbage på emnet ”GDPR vs cloud”, så er det efter min opfattelse præcis de samme udfordringer vi står overfor her: Selvom GDPR trådte i kraft i 2018, så stammer størstedelen af forordningens begreber og definitioner fra persondatadirektivet fra 1995 eller endnu længere tilbage, og den digitale verden så som bekendt meget anderledes ud på det tidspunkt. Det er vel også i en erkendelse heraf, at EDPB sidste år oprettede en ny ”Support Pool of Experts”:

“The EDPB is seeking to establish a Support Pool of Experts with qualified experts in areas such as IT auditing, website security, mobile OS and apps, IoT, cloud-computing, behavioural advertising, anonymization techniques, cryptology, AI, UX design, Fintech, Data science, digital law, etc.” (mine fremhævninger)

Tilsvarende har det danske datatilsyn sidste år oprettet sin egen ekspertgruppe specifikt med fokus på at blive klogere på, hvordan GDPR’s krav kan forenes med cloud teknologi. 

Med andre ord: Hvis man vil forstå, hvorfor der er så mange GDPR-faldgruber relateret til cloud, og hvorfor de tilsyneladende tager så lang tid at løse, så ligger svaret efter min opfattelse i et citat fra Googles Eric Schmidt i et interview i Washington Post i 2011:

“High tech runs three-times faster than normal businesses. And the government runs three-times slower than normal businesses. So we have a nine-times gap.”

Nr 2: Landegrænser på internettet 

Resten af punkterne på min top 5top-5 kan siges at udgøre konkrete eksempler på nr. 1. På plads nr. 2 finder vi således den grundlæggende konflikt mellem GDPR’s karakter af at være regional EU-lovgivning og så cloud-teknologien som i sin grundform er baseret på et globalt setup. 

Da persondatadirektivet blev vedtaget i 1995, indeholdt det nogle særlige betingelser, som skulle være opfyldt, når personoplysninger "overføres ud af EU". Men i starten af 1990’erne var ”overførsler ud af EU” også noget der havde undtagelsens og typisk også en fysisk karakter, eksempelvis hvis en dansk forsker sendte en diskette med data til en kollega i Japan via postvæsenet. 

I takt med at internettet blev udbredt, opstod der usikkerhed om, hvordan reglerne om ”overførsler ud af EU” i persondatadirektivet skulle fortolkes, og der er afsagt en række afgørelser herom af bl.a. EU Domstolen og datatilsynene de seneste 20 år. For et deep dive ned i det kaninhul, kan jeg henvise til et tidligere blogindlæg herom fra august 2020. 

Men, på trods af disse afgørelser, og på trods af at EU reformerede reglerne i 2018, er der stadig den dag i dag uklarhed om emnet, hvilket min IT-advokat kollega Emil Agerskov Thuesen skrev et indlæg om sidste år:

Advokatfirma: Debatten om cloud er præget af misforståelser - Altinget: Digital

Nr. 3:  Cloudleverandører er ”databehandlere” (eller er de?)

Også nr. 3 på min liste relaterer sig til, at teknologien er ”løbet fra” juraen. 

Helt konkret drejer det sig om, at GDPR opererer med to grundlæggende former for pligtsubjekter: ”Dataansvarlige” (”data controller”) og ”databehandlere” (”data processor”). Opdelingen i disse to ”kasser” gav rigtig god mening, da persondatadirektivet blev vedtaget i 1995, og også i årtierne forud (begreberne har rødder tilbage til Europarådets konvention 108 fra 1981 og de danske ”registerlove” fra 1970’erne).

Men i takt med at såvel markedet for IT-ydelser og digitale teknologier har udviklet sig, er opdelingen i de to kasser kommet under pres. Det har ført til, at vi de senere år har set en stigende udbredelse af ”fælles dataansvar”, som er reguleret i GDPR’s artikel 26, og som indebærer, at flere dataansvarlige sammen har kontrollen over en given behandling af personoplysninger.

Vender vi igen blikket tilbage på cloud-branchen, så har der siden teknologiens fremkomst omkring årtisendeskiftet været en tendens til blot at sidestille dem med traditionelle IT-leverandører, og dermed rubricerer dem som ”databehandlere”, der skal indgås en ”databehandleraftale” med. De seneste 10 år er denne konklusion dog kommet under stigende pres, og nærlæser man de store cloud-udbyderes standardvilkår (hvad næsten ingen gør…), kan man læse, at eksempelvis Google og Microsoft anser sig selv for at være ”dataansvarlige” for en række behandlinger af data. Microsoft opererer således med forskellige ”roller” alt efter hvilken kategori af data, der er tale om, jf. eksempelvis denne grafisk fra deres ”Cloud Governance Whitepaper”:

Whitepaperet fra Microsoft giver dog ikke svaret på, hvornår Microsoft anser sig selv for at være hhv. databehandler og dataansvarlig. Vil man have styr på dette, må man læse en række juridiske dokumenter som man kan finder her, her, her, her og her. Herudover kan man også finde yderligere fortolkningsbidrag i Microsofts danske ”compliancepakke” tilgængelig her (se bl.a. dokumentet med titlen ”Notat om videregivelseshjemmel ifm ’behandling til egne formål’). Orker man ikke at læse de mange hundrede sider selv, kan man eventuelt læse den DPIA/Konsekvensanalyse på MS Team, Sharepoint, OneDrive og Azure, som sidste år blev udarbejdet på foranledning af de hollandske myndigheder (se særligt afsnit 5 og 6). 

Fordeling af dataansvar er også et af de centrale emner i Helsingør/Chromebooks-sagen, samt i den ovennævnte nye udtalelse fra EPDB om myndigheders brug af cloud. Af sidstnævnte fremgår bl.a.:

“Ensure the CSP acts only on behalf of and according to the documented instructions of the public body and identify any possible processing by the CSP as a controller. Public bodies should identify clearly and assess the processing operations for which the CSP intends to act as a controller in order to ensure that there is always a valid legal basis for any communications of personal data to a CSP acting as a separate (or joint) controller. Besides, the CSP will have to ensure compliance with the GDPR, including by identifying a valid legal basis in relation to the specified, explicit and legitimate purposes for which personal data are processed…

Although there can be situations in which a CSP is a controller, this should be an exception due to the fact that a processor should act on the documented instructions of the controller. This therefore cannot lead to a situation in which a public body who failed to do a proper risk assessment or negotiate a contract with a CSP hands over personal data from individuals to a CSP. Even in the exceptional situation in which a CSP subsequently processes personal data for a small number of purposes, the CSP will need, among others, a legal basis for the processing he is controller for.”

Efter min personlige opfattelse, kan mange complianceudfordringer løses, når/hvis vi får styr på usikkerheden omkring dataansvarlig/databehandler/fælles dataansvar. Og jeg tror også, at en del af ”bøvlet” kan undgås, hvis man i stedet for at rubricere cloudleverandørens behandling af data til egne formål (fx diagnostiske data) som en videregivelse der kræver videregivelseshjemmel for cloudkunden, i stedet anså det for at være en direkte indsamling foretaget af cloudleverandøren. Det er selvsagt ikke alle scenarier, hvor denne konklusion er mulig, og det vil forudsætte at cloudleverandøren fx selv oplyser oplysningspligten overfor de brugerne af løsningen.  

Nr. 4: Den uklare grænse for hvad der udgør “personoplysninger”

Og som om det ikke var komplekst nok, så er det relevant at forholde sig til endnu en definition fra GDPR, nemlig afgræsningen af, hvilke data der udgør ”personoplysninger”.

Sagen er nemlig, at der i de fleste af de scenarier, hvor cloud-leverandører agerer ”dataansvarlige”, så er der rent faktisk er tale om data, hvor det ikke er hensigten atf behandle oplysninger om navngivne personer. Det, som cloudleverandørerne oftest er interesseret i, er statistikker om brugeradfærd, tendenser samt datagrundlag til træning af mMachine lLearning-algoritmer. 

Definitionen på ”personoplysninger” i GDPR er dog meget bred, og EU’s datatilsyn anlægger (efter min opfattelse) en endnu bredere fortolkning af reglerne: Som et konkret eksempel kan nævnes sagen om Google Analytics, hvor bl.a. det danske Datatilsyn udtrykkeligt har fremhævet behovet for en bred fortolkning.

Ser vi igen på den spritnye EDPB-vejledning om offentlige myndigheders brug af cloud, er linjen den samme:

“In order to provide the cloud services, CSPs process telemetry data, i.e. data relating to the use of infrastructures and services, for example, resource identifiers, tags, security and access roles, rules, usage policies, permissions, usage statistics by different kinds of users. In particular, telemetry data may for instance be used to detect, identify and respond to operational issues, such as identifying and patching bugs and fixing problems, or to measure, support, and improve the services provided. Rules are usually set forth in order to minimize human access to usage and diagnostic data and avoid the identification of individuals. Since personal data means any information relating to an identified or identifiable natural person, it is likely that many telemetry data would qualify as personal data.”

Når denne tendens kombineres med, at der pt. er stor uklarhed om hvad der juridisk set udgør ”nok” anonymisering (EDPB varslede allerede for to år siden en ny vejledning om emnet, men vi venter stadig), har konsekvensen været, at de fleste inkl. Microsoft og co for en sikkerheds skyld har anset alle data for at udgøre ”persondata”, med deraf følgende krav og udfordringer. Personligt er jeg af den opfattelse, at denne udvidende fortolkning risikerer at underminere den opbakning GDPR ellers har formået at opbygge de seneste år, og det har jeg faktisk også talt med Jacob Høedt Larsen i et podcastafsnit med overskriften ”Er GDPR blevet loven om alting? ”

Nr. 5: Det handler om GDPR – men også om kontrakter, teknologi og sikkerhed 

Sidst men ikke mindst, præges debatten om ”GDPR vs cloud” også af, at det (trods alt) ikke kun handler om fortolkning af GDPR’s bestemmelser. Som det vil blive nærmere uddybet i næste indlæg, så forudsætter lovlig brug af cloud løsninger først og fremmest, at der foretages en grundig ”risikovurdering”, såvel fra et databeskyttelsesperspektiv (jf. GDPR artikel 25 om ”Databeskyttelse gennem Design og Standardindstillinger”) og fra et sikkerhedsmæssigt perspektiv (jf. GDPR artikel 32). Og ifølge Datatilsynet forudsætter det også, at man udfører en ”datastrømsanalyse”, herunder via en grundig læsning af cloud leverandørens standardvilkår. 

Eller, sagt på en anden måde: ”GDPR vs cloud” er endnu et eksempel på, at vi som jurister er nødt til at lære at arbejde tæt sammen med dem med forstand på digitale teknologier og cybersikkerhed. 

Opsamling og næste indlæg 

I dette indlæg har jeg forsøgt at give et nogenlunde overblik over, hvorfor brugen af cloudløsninger giver så mange udfordringer i relation til GDPR, og også hvorfor der ikke findes nogłen ”quickfixes” på disse udfordringer. 

I næste indlæg vil jeg forsøge at være mere løsningsorienteret, og bl.a. komme ind på:

• Hvilke konkrete krav stiller det danske Datatilsyn og EDPB til brugen af cloudløsninger?
• Hvordan kan man imødekomme disse krav som hhv. leverandør og kunde?
• Og hvilke mere langsigtede løsninger kan vi forvente i fremtiden, såsom en ny dataaftale mellem EU og USA, cloududbydernes bevægelse mod oprettelse af ”EU cloudsEU-clouds”, EDPB’s vedtagelse af nye adfærdskodekser og certificeringer? 
• Eller kan vi måske ligefrem turde at håbe på, at det lykkedes for de 25 andre datatilsyn at få lagt nok pres på det irske datatilsyn og det luxemburgske til at vi som cloudkunder ikke længere skal løfte al denne kompleksitet selv…?

Og så ser jeg i øvrigt frem til at fortsætte debatten om ovennævnte emner, bl.a. i en paneldebat sammen med Region H og Statens IT til Dansk IT’s OffDig konference d. 9. marts, og sammen med Allan Frank fra Datatilsynet i regi af DPO-foreningen d. 27. marts.