Nye EU-regler sætter grænse for persondata til tredjelande i cloud-løsninger

EU cloud
Illustration: Iskra Denkova. Se større version
Nye anbefalinger fra EU sætter danske virksomheder og myndigheder under pres. Nu er en fremtid med amerikanske cloud-tjenester som Office 365 nemlig »meget vanskelig«.
26. november 2020 kl. 11:29
errorÆldre end 30 dage

I lysskæret fra computerskærmen besvarer han hurtigt det næste opkald. Det er en refleks, når han byder kunden velkommen til Microsofts supportcenter og spørger, hvordan han kan hjælpe.

I det sydlige Indien, i byen Bangalore, sidder en af Microsofts supportmedarbejdere klar til at løse europæiske kunders udfordringer. Med et slankt headset om hovedet lytter han, imens kunden beskriver sit problem.

Medarbejderen er hurtig på tasterne. For at hjælpe bruger han sin fjernadgang til Microsofts datacenter i Tyskland. Nu ser han kundens personlige data. I samme øjeblik sker der en dataoverførsel fra Tyskland til Indien, og det er et brud med EU-lov.

Man må ikke bare sende persondata ud af EU, for dér er den ikke beskyttet af GDPR. Europæiske virksomheder, myndigheder og andre dataansvarlige skal først underskrive en Standard Contractual Clause (SCC), men det er ikke nok.

Ifølge nye anbefalinger fra Det Europæiske Databeskyttelsesråd (EDPB) skal den dataansvarlige også sikre sig, at overførslen lever op til EU’s krav om databeskyttelse. Hvis det ikke er tilfældet, skal man gøre noget ekstra for at beskytte data.

Men EDPB kan ikke forestille sig, at den dataansvarlige kan gøre tilstrækkeligt ekstra for at beskytte data, hvis de sendes til et usikkert tredjeland som Indien eller USA, skriver rådet i sine anbefalinger.

Når EDPB ikke kan forestille sig, at en dataoverførsel til Indien eller USA vil leve op til kravene, så ser en fremtid med amerikanske cloud-tjenester i erhvervslivet og det offentlige Danmark meget sort ud.

»Vi bruger dem alle sammen. De fleste mennesker bruger tjenester, der er hosted af en amerikansk tech-gigant. Og det bliver meget vanskeligt i fremtiden,« fortæller Henning Mortensen, formand for Rådet for Digital Sikkerhed og it-sikkerhedschef hos byggevaregrossisten AO Johansen.

Dog behøver privatpersoner ikke forholde sig til anbefalingerne på samme måde som virksomheder og myndigheder, fordi GDPR ikke gælder, når personoplysninger behandles som led i rent personlige eller familiemæssige aktiviteter.

Tilbage til blok og pen

Ifølge Danmarks Statistik benytter 67 procent af danske virksomheder med mindst ti ansatte cloud-tjenester i 2020. Et eksempel er Office 365, som ifølge Morten Rosted Vang, fagleder for digital ansvarlighed og cybersikkerhed hos Dansk Industri, er udbredt blandt danske virksomheder. Det er et problem, hvis virksomhederne ikke kan bruge den tjeneste fremover, vurderer han:

»Så er det jo virkelig en udfordring, man står med på kort sigt og skal finde nogle helt andre løsninger på virksomhedernes digitale behov, end man bruger i dag. Hvis det er sådan, anbefalingerne skal fortolkes, så kommer det til at få store konsekvenser.«

Læs også: Cloud-kaos presser danske virksomheder: »Vi er jo nærmest vokset op med, at det hele hedder Office eller Microsoft«

I Nordjylland er Office 365 en integreret del af hverdagen hos Aalborg Recycling. Bernt Pedersen, afdelingschef i virksomheden, fortæller, at det er den eneste løsning, han kender lige nu, og derfor er det en udfordring, hvis tjenesten bliver ulovlig i EU.

»Det vil være et problem. Så skal vi ud at finde noget andet – ellers skal vi til at skrive på en almindelig blok igen. Jeg ved ikke lige, hvad alternativet skulle være. Vi er jo nærmest vokset op med, at det hele hedder Office eller Microsoft,« siger han

Det er svært at finde et alternativ, når det ikke findes i samme kvalitet. Ifølge Jon Lauritzen, it-advokat og partner hos DLA Piper, kommer de bedste tjenester i øjeblikket fra de amerikanske tech-giganter.

»For mange virksomheder er der jo ikke noget alternativ til at bruge Microsoft, Apple og Google og andre tilsvarende amerikanske virksomheder,« siger han.

Ifølge Morten Rosted Vang fra Dansk Industri vil de nye anbefalinger betyde et tilbageslag for virksomheders muligheder for at digitalisere. Det samme peger Henning Mortensen på:

»Det har potentiale til at være en revolution inden for digitaliseringen.«

Farvel til amerikansk cloud

Samtidig med at Microsoft har supportmedarbejdere i Indien med fjernadgang til europæiske cloud-centre, så hoster virksomheden også data i centre i USA – ligesom mange andre amerikanske tech-giganter gør. Men hvad kan Bernt Pedersen og andre dataansvarlige gøre ekstra for at sikre data en god beskyttelse, når de sender dem ud af Europa?

Ifølge anbefalingerne fra EDPB kan man som dataansvarlig tage nogle organisatoriske, kontraktuelle eller tekniske supplerende foranstaltninger. De tekniske foranstaltninger skal være opfyldt, før overførslen lever op til EU’s krav – de kontraktuelle og organisatoriske kan blot supplere de tekniske.

For at hjælpe de dataansvarlige har EDPB lavet nogle konkrete eksempler på, hvilke situationer en dataansvarlig kan sidde i, og hvad man så skal overveje.

I det sjette eksempel, Use Case 6, står der, at Databeskyttelsesrådet er »ude af stand til at forestille sig en effektiv teknisk foranstaltning til at forhindre, at adgangen krænker den registreredes rettigheder«, hvis dataoverførslen sker til et usikkert tredjeland, som EU-domstolen har vurderet, at USA er.

»Indikationen af den her case er mere eller mindre, at det er meget få tilfælde i virkeligheden, hvor man kan bruge cloud-computing,« understreger Henning Mortensen.

Thomas Munk Rasmussen, partner og ekspert i persondataret hos Bech Bruun, ser også en dyster europæisk fremtid for cloud-tjenester hosted i USA.

»På baggrund af Use Case 6 må man sige, at det er vanskeligt at forestille sig, at man kan lade data behandle på en tredjelandsudbyders server, uden at det er krypteret,« lyder hans vurdering.

Derfor er det smart at hoste data i Europa – hvis bare man holder disse data i Europa. Problemet er, at når Microsofts supportmedarbejder i Indien tilgår dataene, så er det i juridisk forstand det samme som en dataoverførsel til et tredjeland. Og hvis der sker en dataoverførsel til tredjelandet USA, så har myndighederne nogle magter, der kan udfordre GDPR.

»De amerikanske myndigheder, for eksempel NSA, kan pålægge med gag order – altså du må ikke fortælle det til offentligheden – serviceudbyderen i USA at gå ind på de her europæiske servere og hente personoplysninger ud om for eksempel Henning Mortensen, hvis de nu for eksempel synes, at jeg er en bandit,« fortæller han.

Microsofts fremtid er uvis

Microsoft har afvist at stille op til et interview, men virksomheden har netop offentliggjort en pressemeddelelse med et løfte til sine kunder: Microsoft vil modsætte sig alle myndigheders anmodninger om dataudlevering, hvis det er i strid med GDPR.

Derudover skriver virksomheden, at den vil kompensere kunder økonomisk, hvis Microsoft alligevel bliver nødt til at udlevere deres oplysninger.

Hvis Microsoft holder alle data inden for EU og lukker for fjernadgangen til resten af verden, så er det måske en løsning, som kan give EU for eksempel Office 365 tilbage.

»Det kan det i sin ultimative konsekvens betyde, at Microsoft bliver valgt fra, hvis man ikke vil lave sin struktur om. Udfordringen er, at der ikke rigtig er nogen at vælge til. Der er ikke rigtig noget europæisk alternativ til Microsofts Office-pakke lige nu,« siger Jon Lauritzen

»Man må forvente, at Microsoft vil gøre rigtig meget for at tilpasse sig den virkelighed, vi har i Europa, for alternativet er, at de risikerer at miste deres europæiske kunder.«

Et redskab for virksomhederne

Det er præcis den tilpasning, der formentlig har lettere ved at blive til virkelighed nu, hvor alle europæiske virksomheder og myndigheder kan stå med et trusselsbrev i hånden over for de oversøiske tech-giganter.

»Anbefalingerne er også et oplæg til en dialog med serviceudbyderen. Nu har dataansvarlige et redskab i hånden, som de kan vise til deres leverandører og sige: ‘Det ser ikke ud, som om den overførsel, jeg har til jer, lever op til reglerne. Kan I ikke tilbyde mig den her tjeneste på nogle andre vilkår eller en anden måde, der gør, at den lever op til reglerne?’,« siger Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet.

Men hvis det ikke virker, og der ikke kommer en praktisk løsning, så vil der sikkert vokse nogle europæiske virksomheder frem, der med tiden kan levere lige så gode løsninger, som amerikanerne kan, ifølge Jon Lauritzen:

»Jeg tror jeg sådan set, at EU’s institutioner vil sige: ‘Det er da en rigtig god ide, at vi får alle de her tech-virksomheder og al den her teknologi til Europa.’«

Ifølge Henning Mortensen kan det lede til en opblomstring af den digitale økonomi i Europa, hvis virksomheder og myndigheder faktisk tvinges til at efterspørge udelukkende europæiske løsninger, og det er ikke helt tilfældigt.

»Kommissionen ved det jo godt. Man har lige afsat 74 milliarder kroner til at udvikle europæisk cloud-computing. Hvis man siger, at det her bliver en hård exit på cloud-tjenester, så vil man om nogle år sikkert have tilvejebragt noget fornuftigt inden for EU, men i den her mellemliggende periode står vi altså lidt med skægget i postkassen, hvis ikke cloud-tjenesterne skifter strategi,« siger han.

Oracle, en anden tech-gigant fra USA med cloud-tjenester, har også afvist at kommentere konsekvenserne af EDPB’s anbefalinger.

Hvad skal prisen for beskyttelse være?

Selvom anbefalingerne fra Databeskyttelsesrådet kan udfordre EU-borgere, så er de lavet for at beskytte selvsamme personer, understreger Allan Frank:

»Hvis data kommer uden for EU’s område, så kan man som registreret risikere, at det bliver brugt på en anden måde end tilsigtet eller uden ens vidende, og man ikke kan håndhæve de rettigheder, man har i EU.«

Han tilføjer, at ifølge GDPR skal man have den samme høje grad af beskyttelse, uanset hvilket tredjeland ens data bliver overført til:

»Det handler ikke kun om databeskyttelse – det rager endnu højere op. Det handler om de fundamentale menneskerettigheder inden for EU, som man skal være sikker på kan håndhæves i det enkelte andet land.«

Anbefalingerne om supplerende foranstaltninger er i høring indtil 21. december, men Henning Mortensen mener ikke, at der er reel mulighed for at rokke ved dem:

»Jeg kan ikke forestille mig, at høringen giver noget væsentligt resultat, for man kan ikke tilsidesætte EU-domstolens afgørelse,« fortæller han og tilføjer:

»Det her charter passer på vores fundamentale rettigheder og skal ultimativt beskytte os. Det begynder bare at blive meget tydeligt, at der er en pris for, at vi har de her rettigheder.« 

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i den videnskabelige debat.