Der er flere udfordringer ved at lægge kritiske it-systemer uden for Danmark.
- Hvis systemet i Danmark kræver, at de, der arbejder med systemet, er sikkerhedsgodkendte, hvordan sikrer man sig så, at medarbejdere i udlandet reelt har samme sikkerhedsgodkendelse? Jeg har meget svært ved at se, hvordan det danske politi får legal mulighed for at sikkerhedsgodkende borgere i et andet land. Men først og fremmest handler det om adgangen til data og det faktum, at Danmark ved krige eller handelskrige har meget ringe muligheder for at insistere på, at en forretningsaftale overholdes. Virksomheder i andre lande er jo først og fremmest underlagt det lands lov, uddyber Niels Bertelsen, formand for PROSA – Forbundet af It-professionelle.
Han peger også på, at der før er set eksempler på, at aftaler om data i udlandet er blevet omgået:
- Edward Snowden afslørede, at den gamle Safe Harbour-aftale med USA blev underløbet gennem FISA-domstolen. Dermed fik den amerikanske sikkerhedstjeneste NSA lovligt adgang til europæiske data, der var lagt i USA. Vi ved ikke, om der findes tilsvarende juridiske smuthuller i andre stater, men ved at holde systemerne i Danmark undgår man helt den risiko, siger Niels Bertelsen.
PROSA efterspørger derfor i et høringssvar skarpere krav til hvilke it-systemer, der må placeres i udlandet, end Justitsministeriet foreslår i udkastet til en længe ventet bekendtgørelse og vejledning om den nye krigsregel. Mens kritiske it-systemer ikke bør flyttes ud over landets grænser, bør der også være tungtvejende grunde til at placere it-systemer, der blot vurderes væsentlige for at få Danmark til at fungere, uden for Danmark, mener PROSA.
Da GDPR trådte i kraft den 25. maj 2018 medførte det et farvel til den gamle krigsregel, herunder kravet om at kunne destruere eller bortskaffe persondata i tilfælde af krig. Mange instanser fortolkede den regel sådan, at man ikke måtte lægge systemer med personfølsomme data uden for Danmark. Men uden kravet om at kunne destruere eller bortskaffe data, åbnede der sig muligheder for at placere it-systemer i udlandet.
- Det er positivt, at Justitsministeriet nu kommer med en vejledning til de offentlige instanser om, hvordan den nye krigsregel skal tolkes, og hvilke systemer, den aktuelt gælder for. Men det ændrer ikke på, at vores kontrol med data, der er kritiske for det offentlige Danmark, bliver forringet i tilfælde af krig, handelskrig og politiske kriser, hvis de sendes ud over landets grænser. Og det eneste incitament til at gøre det er økonomisk, siger Niels Bertelsen.
Ikke-kritiske systemer kan give mening at drive i udlandet. Her foreslår PROSA et følg-eller-forklar-princip for væsentlige systemer. Grænsen for, om et system er væsentligt, kan fx være, om systemet vil kunne undværes i en måned. Fx vil et tilfredshedsspørgeskemasystem typisk kunne undværes i en måned, mens det offentlige Danmark ikke vil kunne undvære adgang til CPR i en måned. Ud over de eksisterende krav bør der for væsentlige systemer være krav om, at tungtvejende grunde til at flytte systemet til udlandet skal forklares, og at denne forklaring skal opdateres hvert 3. år, så den ansvarlige offentlige instans kan reagere, hvis situationen ændrer sig.