Databeskyttelse står i vejen for cloud i Statens It: »Vi har et ekstra ansvar«

11. maj 2021 kl. 05:00
Statens It
Illustration: Statens It.
Schrems II har gennem knap et år givet grå hår i hovedet på organisationer, der står med det ene eller begge ben i skyen. Hos Statens It vil man slet ikke levere cloud-tjenester, fordi det på nuværende tidspunkt ikke kan gøres på lovlig vis, lyder det.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Kunderne er gennem de seneste år væltet ind hos Statens It, der i 2016 fik til opgave at varetage it-driften for alle statslige institutioner bortset fra Skat, Forsvaret og Rigspolitiet.

Sidstnævnte er også på vej til Statens It, men selvom ansvaret vokser, er der en helt afgørende teknologi, som statens driftsorganisation ikke kan levere.

Kunderne kan ikke komme i skyen.

»Det er ikke noget, vi tilbyder som en service,« siger Helle Uldbæk Sørensen, der er DPO hos Statens It.

Artiklen fortsætter efter annoncen

Vurderingen hos Statens It er, at man ikke kan stå på mål for at sende danskernes data i hænderne på for eksempel Microsoft - og derfor kan man ikke levere deres løsninger til danske statsinstitutioner.

»Det har primært skyldtes reglerne for tredjelandsoverførsler. Vi har et ekstra ansvar for at sikre, at personoplysninger i de cloud-tjenester ikke bliver udsat for en dårligere beskyttelse,« siger Helle Uldbæk Sørensen.

»Som borger i Danmark kan vi ikke bare fravælge en løsning, ligesom man kan skifte teleoperatør, hvis man er utilfreds med selskabet. Så vi skal gøre os umage for at sikre, at vi passer godt på borgernes data.«

Læs også: Efter EU-dom: Kombit dumpede Microsoft men blåstempler Amazon

Hvis man har en cloud-aftale i forvejen, når man rykker ind hos Statens It, kan man dog godt få lov at beholde den.

Så foregår cloud-eventyret nemlig på eget ansvar.

»Det er en beslutning, de har truffet som dataansvarlig, og derfor er de ansvarlige for den beslutning i en tilsynssammenhæng.«

Så I vil ikke stå med ansvaret for, at der måske/måske ikke sker nogle tredjelandsoverførsler, der ikke er GDPR-compliant?

»Det vil vise sig, hvis der skulle komme en sag på det en dag. For os er der forskel på, om det er en beslutning, der er truffet, før eller efter de er overgået til os.«

Kunderne vil have det

Helle Uldbæk Sørensen har været DPO i Statens It siden 2017, og hun har arbejdet med udbud, it og persondataret i organisationen siden 2013. Hun fortæller, at den største udfordring i DPO-rollen har været at balancere digitaliseringsdagsordenen og cloud med databeskyttelse.

Groft stillet op vil kunderne have Office 365, men det vil Statens It ikke levere, fordi man ikke vurderer, at det lever op til gældende regler om databeskyttelse.

»Der er to modsatrettede hensyn: Vi vil gerne have billigere og bedre løsninger, men vi skal også sørge for, at juraen kan følge med. Den svære opgave for mig er at få kommunikeret både internt i vores eget hus og udad til vores kunder, hvorfor vi ikke kan efterkomme den store efterspørgsel, der er på cloud-tjenester,« siger hun.

»Vi skal ikke bare sidde over i et hjørne og sige nej til den teknologiske udvikling. Men vi skal selvfølgelig også levere løsninger, der er i overensstemmelse med lovgivningen. Det er klart.«

Store forventninger

Helle Uldbæk Sørensen og Statens It har diskuteret tredjelandsoverførsler og jura med cloud-leverandørerne, allerede inden der var noget, der hed Schrems II.

Den kontroversielle EU-dom fra sidste sommer, der har sat it-Europa på den anden ende, bekræfter bare, at man har haft den rigtige skepsis og stillet de rigtige spørgsmål.

Læs også: Efter Schrems II: Sådan vil Region H sikre Sundhedsplatformen mod amerikansk overvågning

Hun regner dog med, at EU og USA vil finde en erstatning for Privacy Shield, og særligt Microsofts seneste løfte om at holde alle data i EU i fremtiden giver hende håb om, at man vil kunne levere de efterspurgte cloud-tjenester i fremtiden.

Torsdag meddelte Redmond-giganten nemlig, at man vil tage et nyt skridt for at gå EU i møde:

»Hvis du er kunde i den kommercielle eller offentlige sektor i EU, går vi ud over vores eksisterende forpligtelser om datalagring og giver dig mulighed for at behandle og gemme alle dine data i EU. Med andre ord behøver vi ikke at flytte dine data uden for EU. Denne forpligtelse gælder på tværs af alle Microsofts kerne-skytjenester - Azure, Microsoft 365 og Dynamics 365. Vi begynder straks at arbejde på dette tilføjede trin, og vi vil gennemføre implementeringen af alt det tekniske arbejde, der er nødvendigt, ved udgangen af næste år.«

Læs også: Microsoft bøjer sig for Schrems II: Data kan blive i EU

Begejstring med forbehold

Hos Statens It er man begejstret for meldingen, som ifølge Helle Uldbæk Sørensen på sigt kan komme til at betyde, at de statslige myndigheder kan købe Microsoft-produkter gennem deres driftsleverandør.

Der er dog stadig en del forbehold.

»En ting er, at vi får oplyst, at data ikke bliver behandlet uden for EU. Det skal vi selvfølgelig se dokumentation for,« siger hun.

»Der er en række parametre i forhold til adgang og lignende, som vi skal kigge nærmere på, og det er et stort arbejde. Men det skal kunne dokumenteres, at det, de siger, også rent faktisk er sådan, det forholder sig. At det ikke kun står på et stykke papir.«

Men selvom data opbevares og behandles i EU, er Microsoft stadigvæk et amerikansk selskab.

Og når man er et amerikansk selskab, kan man risikere, at amerikanske myndigheder banker på døren og kræver data udleveret - også selvom de ikke fysisk befinder sig i USA.

Den hovedpine adresserer Microsofts seneste løfte til de europæiske kunder ikke.

»Det er det helt store spørgsmål. Og så er vi tilbage ved Schrems II, NSA's overvågningslovgivning, og hvor vidtrækkende den er. Men vi håber på, at man med en arvtager efter Privacy Shield finder en løsning på det.«

Helle Uldbæk Sørensen
Helle Uldbæk Sørensen er databeskyttelsesrådgiver/DPO i Statens It
Illustration: Statens It.

Helle Uldbæk Sørensen er uddannet cand.jur. fra Københavns Universitet i 2011 med speciale i it-ret og persondataret. Hun blev ansat i Statens It i 2013 og udnævnt til databeskyttelsesrådgiver (DPO) i august 2017. Siden februar 2019 har hun også været teamleder for Team Jura.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger