PROSA lukker for henvendelser kl. 14 fredag den 20/12 og mandag den 23/12.

It-drift, Digital forvaltning

Myndigheder er tavse om amerikansk cloud

Eksperter rejser alvorlig tvivl om lovligheden af at lægge persondata hos amerikanske cloud-udbydere. Men en lang række offentlige myndigheder og it-firmaer afviser interview om emnet.

”Ingen kommentarer på nuværende tidspunkt”.

”Vi takker nej til deltagelse”.

”Vi kommer ikke til at stille op til interview på nuværende tidspunkt”.

Centrale aktører i og omkring den offentlige sektor ønsker ikke at tale med Prosabladet om de mange persondata, der hober sig op hos amerikanske cloud-udbydere. Persondata, der muligvis er placeret ulovligt. 

Tendensen til at lægge data og it-systemer i amerikansk cloud er udbredt både i erhvervslivet og det offentlige. Men som Prosabladet har beskrevet, kører der aktuelt en tilspidset debat i EU om lovligheden. En debat, der i værste fald kan føre til et forbud eller begrænsninger.

Trods alvoren var det ikke muligt at få interview med:

  • Sundhedsdatastyrelsen
  • Digitaliseringsstyrelsen
  • Kommunernes Landsforening
  • Danske Regioner 
  • Udviklings- og Forenklingsstyrelsen, der varetager it-systemer i Skatteforvaltningen.
  • It-firmaet Netcompany, der varetager en stor del af driften i det offentlige, og som benytter sig af Amazon Web Services (AWS) og Microsoft Azure.
  • Det amerikanskbaserede multinationale selskab DXC, der også varetager en stor del af driften i det offentlige.

Kombit, der står bag skolesystemet Aula, gav dog et enkelt citat. Det vender vi tilbage til.

Offentlige aktører vilde med cloud

Dermed er det ikke muligt at skabe et overblik over, præcis hvilke oplysninger om danskerne, der ligger i amerikansk cloud. Men det står klart, at offentlige aktører i vid udstrækning bruger de amerikanske udbydere. Det oplyser IT-Branchen, der repræsenterer de danske it-leverandører.

”Jeg tror ikke, der er en eneste offentlig myndighed, der ikke bruger internationale cloud-udbydere til et eller andet”, fortæller Martin Jensen Buch, chefkonsulent i IT-Branchen.

Han henviser til udbydere som Amazon Web Services (AWS), Microsoft Azure og Google Cloud.

”Der er en tendens til, at flere og flere it-systemer bliver lagt ud i skyen. Og at data og selve systemerne ligger i de store internationale cloud-udbyderes netværk. Det gælder i særdeleshed også de offentlige systemer”, siger han.

LÆS OGSÅ: Skyen i stormvejr

Ifølge Martin Jensen Buch er det også almindeligt, at det offentlige overfører persondata til amerikanske cloud-firmaer. Fra de knap så følsomme data til de helt følsomme data.

”Tracking cookies på en offentlig hjemmeside vil med 99 procent sikkerhed sende data om deres brugere til USA. Og et nyhedsbrev-system vil med 99 procent sikkerhed også sende data til USA”, siger han.

”Vi har også fagsystemer i det offentlige, der indsamler personfølsomme data, som ligger hos internationale datacentre”, siger Martin Jensen Buch.

Mange eksempler

Eksemplerne er mange. Skolesystemet Aula ligger hos amerikanske Amazon Web Services (AWS). Landspatientregistret – et register over danske patienter – ligger hos DXC. Sundhedsdatastyrelsen benytter også Microsoft-systemer.

Men Prosabladet kan ikke opspore nogen, der har det fulde overblik. 

”Jeg tror ikke, der er nogen, der har et samlet billede,” siger Henning Mortensen, formand for Rådet for Digital Sikkerhed.

Som beskrevet i det seneste nummer af Prosabladet er der store fordele ved at lægge it-systemer i skyen. Og de amerikanske udbydere betragtes som de bedste på markedet.

Men ét problem truer hele tendensen: De amerikanske efterretningstjenester kan kræve adgang til kundernes data, også hvis de ligger på servere i EU. Og det harmonerer ikke med GDPR, når der er tale om persondata. 

EU-domstolen har erklæret EU’s egne juridiske rammer ulovlige to gange. Nye retningslinjer fra EU – såkaldte standardkontraktbestemmelser – har netop været i høring, og den endelige udgave forventes i starten af dette år. Men flere kilder tvivler på, at de bliver de sidste ord i sagen. 

Hos IT-Branchen krydser man fingre for, at der snart kommer en permanent løsning på højeste politiske niveau. For alternativet kan blive dyrt.

”Hvis EU siger, at fra i morgen må der ikke være persondata i USA – medmindre du selv kan stå inde for, at du har taget de nødvendige foranstaltninger for, at data ikke bliver misbrugt – så vil man slukke internettet”, siger Martin Jensen Buch fra IT-Branchen.

Tavse myndigheder

Men trods de dystre perspektiver bliver Prosabladet altså mødt med afvisninger hos flere centrale aktører.

Det er ikke muligt at få et interview med Digitaliseringsstyrelsen, trods adskillige henvendelser på telefon, SMS og mail.

Danske Regioner henviser til Sundhedsdatastyrelsen, som afviser interview. I en mail skriver styrelsen:

”Jeg kan oplyse dig om, at Sundhedsdatastyrelsen har en databehandleraftale med DXC, der forpligter DXC til at holde data i Danmark. Vi kender naturligvis problematikken omkring cloud og tager konkret stilling i forhold til de enkelte løsninger. Vi har ikke yderligere at tilføje”.

DXC vil heller ikke tale. De er et amerikanskbaseret selskab, der varetager en stor del af it-driften i den offentlige danske sektor. I en mail skriver de:

”Jeg må informere dig om, at vi ikke har nogen kommentarer til dette emne på nuværende tidspunkt. Så vi kommer ikke til at stille op til interview på nuværende tidspunkt”.

Afvisningerne fortsætter

Heller ikke Netcompany vil tale. Netcompany er et danskbaseret it-firma, der ligesom DXC varetager en stor del af it-driften i det offentlige. De benytter sig af Microsoft Azure og AWS. Kommunikationsafdelingen skriver i en mail:

”Tak for muligheden. Jeg har nu drøftet internt, og vi takker nej til deltagelse”.

I it-firmaet Kombit, der står bag Aula, vil pressechef Henrik Kirkeskov dog gerne sige et par ord. Aula ligger hos AWS. 

”Vi er i fuld gang med at kigge på, hvad Schrems 2-afgørelsen kommer til at betyde for Kombits løsninger, og derfor har vi ingen kommentarer på nuværende tidspunkt”, siger Henrik Kirkeskov.

Schrems 2-afgørelsen, der faldt ved EU-Domstolen i sommer, sendte chokbølger gennem it-branchen. Dommen erklærede, at det mest udbredte grundlag for overførsel af persondata til USA – Privacy Shield – var ugyldigt. 

Trods tre ugers svartid er det heller ikke muligt at få et interview med Udviklings- og Forenklingsstyrelsen, der varetager Skatteforvaltningens it-systemer. 

Kommunernes Landsforening (LK) afviser også at stille op til interview på nuværende tidspunkt. I en mail skriver de:

”Brugen af cloud-løsninger er udbredt i kommunerne, men vi har ikke data for, hvor udbredt eller hvor mange der benytter amerikanske udbydere. Ligesom vi ikke har oplysninger om, i hvor høj grad kommunerne lægger persondata hos amerikanske udbydere”.

KL henviser til et høringssvar, som organisationen har skrevet i forbindelse med de nye EU-bestemmelser, der er på vej. Her rejser KL en række kritikpunkter.

Hvad siger Datatilsynet?

Hos Datatilsynet bekræfter it-sikkerhedsspecialist Allan Frank, at den offentlige sektor har store mængder af persondata i amerikansk cloud. 

”Man har vidst, at de amerikanske efterretningstjenester lyttede med i et eller andet omfang. Det har man helt klart vidst”, siger han.

”EU-kommissionen har medvirket til at plumre vandene med blandt andet Privacy Shield. Så det, man har gjort, var som udgangspunkt sanktioneret af kommissionen. Men det betyder ikke, at det var lovligt. Når EU-Domstolen konstaterer, at kommissionen tog fejl, så har man også selv taget fejl”, siger Allan Frank.

Men hvorfor er det et problem, hvis efterretningstjenester i udlandet snager i danskernes persondata? Allan Frank udlægger det sådan her:

”Problemet med data, er, at lige så snart de er ude af sækken, så ved man ikke hvor mange repræsentationer af de data, der eksisterer. Lige så snart man slipper kontrollen, så kan det ikke spoles tilbage”.

Myndighederne skal dog ikke frygte Datatilsynet, hvis der er sket overførsler på det tidligere grundlag, Privacy Shield, siger Allan Frank.

”Vi kunne aldrig finde på at komme efter nogen, der har baseret sig på en tilstrækkelighedsvurdering fra det kompetente EU-organ”, fortæller han.

Kan strække ud i årevis

Det er svært at sige, hvornår der kommer styr på situationen, fortæller Henning Mortensen, formand for Rådet for Digital Sikkerhed.

Henning Mortensen, når de endelige bestemmelser fra EU kommer, betyder det så at vi går fra ’wild west’ til ordnede forhold? Eller er der tale om en mere gradvis proces, hvor det bare er et skridt på vejen?

”Det er det allerbedste spørgsmål, du kan stille. Det ved vi ikke. Vi får på et tidspunkt nogle færdige anbefalinger fra EDPB (Det Europæiske Databeskyttelsesråd, red.). Jeg tror, de ligger klar i slutningen af januar. Men hvis nu EU har fået nogle svar ind, som giver anledning til væsentlige ændringer, kan det være, at det tager længere tid,” siger han.

”Og når bestemmelserne kommer, kan man sætte sig ned og vente et par måneder mere”, siger Henning Mortensen.

Han henviser til de 101 klagesager, som den østrigske dataaktivist Max Schrems har rejst ved en række databeskyttelsesmyndigheder i EU. Klagerne handler om Googles og Facebooks videregivelse af persondata.

”Vi bliver meget klogere, når vi ser afgørelsen på de 101 sager”, siger Henning Mortensen.

”Når vi så har de her to ting, er det store spørgsmål: Hvad gør de store cloud providers? De kan klappe hælene sammen og acceptere. Men de kan også gå i retten og udfordre EDPBs udlægning af Schrems 2. Og så kan vi få en retlig usikkerhed, der varer i flere år,” siger han.

I dét lys: Bør offentlige myndigheder begynde at trække persondata hjem – og i stedet lægge dem hos danske eller europæiske cloud-udbydere?

”Hvis jeg havde hånden på kogepladen i en offentlig myndighed, så tror jeg, jeg ville tage den med ro. Jeg ville nok stoppe med at lægge flere data ud i clouden. Men jeg tror også, jeg ville vente, inden jeg begynder at trække alle mulige data tilbage”, siger Henning Mortensen. 

”Jeg ville vente de her måneder, til vi er mere sikre. Og så ville jeg bruge ventetiden på at forberede mig og få kortlagt: Hvad har jeg af data? Hvor har jeg dem liggende? Og hvilket grundlag har jeg brugt?”, siger han.

Et politisk spørgsmål

Hos IT-Branchen understreger Martin Jensen Buch, at det er en politisk opgave at finde en løsning.

”Mit bedste bud er, at der ikke er nogen problemer, som politikerne ikke kan løse. Men jeg kan ikke gennemskue, om det vil kræve ny lovgivning, eller om man kan lave nye aftaler, der sikrer persondata bedre”.

”Men det kræver en politisk intervention. Det er den, vi står og råber på. Hvis embedsmændene ikke kan løse det, så må politikerne gøre det. Vi kan ikke leve med ikke at kunne udveksle data med vores tætteste allierede. Det vil vores digitale udvikling lide skade af”, vurderer han.

Han fortæller, at Digital Europe – den europæiske pendant til IT-Branchen – ligger i dialog med Europa-Kommissionen. Men EU kan ikke løse knuden alene, siger han.

”Pilen peger på både de amerikanske og europæiske politikere. Man bliver nødt til at mødes på midten”, mener Martin Jensen Buch.