Kombit-garanti til bekymrede kommuner: “Schrems II har ingen betydning for kommunevendte systemer”

Foto : Kombit

Kombit-garanti til bekymrede kommuner: “Schrems II har ingen betydning for kommunevendte systemer”

Kombit afviste i januar at kommentere på, hvad Schrems II dommen betyder for løsningerne i det kommunale it-fællesskab. Men internt har Kombit forsikret kommunerne, at der ikke er noget at bekymre sig om - og fastholder i dag, at dommen ikke får betydning for de systemer, man leverer til kommunerne.

Den kontroversielle Schrems II-dom har sat cloud-verdenen på den anden ende, og it-ansvarlige og jurister over hele Europa arbejder på højtryk for at finde ud af, om deres cloud-baserede løsninger er på sikker grund.

Det har blandt andet udløst bekymring i kommunerne, der siden sommeren 2020 har henvendt sig til blandt andet Kombit for at få svar på, hvad det betyder for dem.

Det viser en korrespondance mellem Kombit og forskellige kommuner, der strækker sig tilbage til juli 2020, som DigiTech har fået aktindsigt i.

“Vi vil gerne bede jer om at stille garanti for, at jeres forretnings set-up ikke er i strid med denne afgørelse. Vend venligst tilbage med en redegørelse for dette samt en beskrivelse af det gyldige overførselsgrundlag. Er der nu, som følge af dommens resultat, derimod tale om ulovlig overførsel af personoplysninger til tredjelande, ønskes der ligeledes en tilbagemelding, så vi kan samarbejde om at finde en løsning,” lyder det i en mail fra Ballerup Kommune umiddelbart efter Schrems II-dommen.

Læs også: Garanti-udfordringer får offentlig leverandør til at søge cloud-alternativer

Flere andre kommuner har siden sendt lignende henvendelser.

Udadtil afviste Kombit så sent som i januar måned at kommentere på Schrems II-afgørelsen, da man stadig var “i fuld gang med at kigge på, hvad Schrems 2-afgørelsen kommer til at betyde for Kombits løsninger."

Men i mailkorrespondancen med kommunerne forsikrede Kombit allerede sidste sommer, at der ikke er noget at bekymre sig om.

 “Med baggrund i KOMBITs opfølgning på Datatilsynets afgørelse af 19. december 2019 er det vores vurdering, at Schrems II - for så vidt angår overførsel af personoplysninger til ikke godkendte tredjelande - ikke har nogen betydning i forhold til de kommune-vendte løsninger i KOMBIT,” lød det fra Kombit i slutningen af juli.

"KOMBIT vil dog igangsætte et arbejde med at vurdere, om der i øvrigt med baggrund i Schrems II er forhold, der giver anledning til, at KOMBIT iværksætter særlige tiltag eller foranstaltninger overfor KOMBITs leverandører og leverandørernes underleverandører.”

Læs også: EU-dom kan sætte den digitale udvikling over styr

Kombit fastholder i dag konklusionen om, at Schrems II ikke har nogen betydning for de løsninger, Kombit stiller til rådighed for kommunerne.

Ligger Aula ikke hos Amazon?

Flere af henvendelserne fra komunnerne går specifikt på det store Aula-system. 

Aula, der gik i luften i kommunerne i efteråret 2019, leveres af danske Netcompany, men løsningen hostes Amazon Web Services (AWS). 

Og i en mail fra november 2020 rammer en it-ansvarlig fra Ikast-Brande hovedet på sømmet i forhold til den bekymring, flere kommuner har henvendt sig med efter Schrems II.

“I anden sammenhæng er vi på landets skoler blevet gjort opmærksom på, at der er problemer med systemer, som er hostede på Amerikansk ejede hostingservere i USA eller Europa (fx Amazon). Ligger AULA ikke hos Amazon? Og har vi et problem her?”

Læs også: Krav til it-sikkerhed og databeskyttelse kræver opgør med prisregime i it-udbud

Fra Kombit er meldingen dog igen, at kommunerne ikke skal frygte, at den kontroversielle EU-dom spænder ben for skolernes forkromede it-platform.

“KOMBIT har leverandørens ord for at Aulas data opbevares inden for EU, og at Aulas system eller data ikke hverken flyttes eller tilgås fra tredjeland,” lyder det.

“Det væsentlige er, at Aula er sikkert, og data ikke bliver sendt til USA – på trods af hostingen hos Amazon.”

Smed Microsoft på porten

Schrems II-dommen har dog ikke været helt uden betydning for Kombits anliggender.

Som DigiTech kunne fortælle i slutningen af januar, har Kombit blandt andet droppet Microsoft som databehandler på kommunernes vegne.

Ifølge interne dokumenter fra Kombit, som DigiTech fik aktindsigt i, var Kombit sidste efterår i dialog med Microsoft om at bruge tech-gigantens cloud-tjenester til de løsninger, som Kombit leverer til kommunerne.

Læs også: Kombit dumper Microsoft som databehandler: Kunne ikke garantere, at data bliver i EU

Men det gik i vasken, da Kombit bad Microsoft om at sende en guide til, hvordan man skal konfigurere deres tjenester for at sikre, at overførsel til tredjelande aldrig vil forekomme.

»Microsoft endte med at sende en endelig version af dokumentet, hvor det fremgik, at Microsoft ikke kunne udelukke, at der i visse tilfælde ville kunne ske overførsel til tredjelande,« skriver en chefkonsulent hos Kombit 14. september 2020.

Grå hår i hovedstaden

Selvom de danske myndigheder ikke ligefrem står i kø for at fortælle om, hvordan de håndterer den opsigtsvækkende EU-dom, står det dog klart, at den også har sendt i hvert fald to regioner på arbejde.

Som DigiTechs søstermedie Version2 har afdækket, har Schrems II vakt alvorlig bekymring blandt europæiske kunder hos amerikanske Epic, der blandt andet leverer Sundhedsplatformen til Region Hovedstaden og Region Sjælland.

Derfor er Region Hovedstaden gået sammen med Epic-kunder fra en række lande i Europa, der nu har bedt Epic om at oprette et support-center i EU. 

Det kan du læse meget mere om her.

De vestdanske regioner, der enten allerede bruger Systematics EPJ eller er i gang med at implementere det, har dog ikke samme problem. Her holder man nemlig alle data i EU.

Læs også: Mens Sundhedsplatformen slås med Schrems II: Vestdanmarks EPJ holder alle data i EU

Også i både Sverige og Norge kæmper man med at hitte hoved og hale i, hvad Schrems II betyder for igangværende it-projekter med amerikanske leverandører. Det kan du læse mere om her.

Prøv DigiTech

Få 3 ugers gratis og uforpligtende prøveabonnement

Klik her