Microsoft i Schrems II-debat: Kan ikke garantere, at danskeres data bliver i EU

Foto : Simon Väth

Microsoft i Schrems II-debat: Kan ikke garantere, at danskeres data bliver i EU

På Version2’s Infosecuritykonference var fire talere samlet på den store scene for at diskuterer efterspillet af Schrems II-afgørelsen. Hvad betyder dommen for Danmarks kærlighed til Microsoft, når den amerikanske lovgivning fortsat er problematisk?

»Jeg tror kun, man kan garantere skat og død – og man diskuterer stadig skat.«

Sådan svarer Ole Kjeldsen, Teknologi- og Sikkerhedsdirektør hos Microsoft Danmark, da han under årets Infosecurity-konference bliver spurgt, om han kan garantere, at EU-borgeres data ikke ender i USA, når den behandles hos tech-giganten.

Svaret kommer fra konferencens største scene, hvor direktøren står på række ved siden af Helle Uldbæk Sørensen, databeskyttelsesrådgiver hos Statens It, Anna Olga Aaskilde Laursen, CISO hos Region Hovedstaden, og Allan Frank, it-sikkerhedsspecialist og jurist ved Datatilsynet.

Ole Kjeldsen, Teknologi- og Sikkerhedsdirektør hos Microsoft Danmark

Ole Kjeldsen, Teknologi- og Sikkerhedsdirektør hos Microsoft Danmark

Illustration: Microsoft Danmark

Alle fire er trådt op på podiet for at diskutere efterspillet af Schrems II-dommen, der sidste sommer ugyldiggjorde overførselsgrundlaget Privacy Shield og skabte en kraftig hovedpine for europæiske dataansvarlige, der vil sende persondata til USA.

Nu kan man i stedet bruge standardkontrakter som overførselsgrundlag med supplerende foranstaltninger, der sikrer en højere grad af databeskyttelse. Og det er nødvendigt, for ifølge EU-Domstolen er USA et usikkert tredjeland.

USA’s lovgivning kan nemlig ikke garantere de samme essentielle garantier for borgernes data sammenlignet med loven i EU – eksempelvis har man ikke de samme klagemuligheder, og der er ikke de samme krav om gennemsigtige databehandlinger.

Amerikansk lov giver også efterretningstjenesterne frihed til at anmode tech-giganter som Microsoft om at udlevere data – også selvom databehandlingen sker i EU. Og det er et problem i forhold til GDPR, hvis man opbevarer noget data, som eksempelvis NSA kan have en interesse i at få fat på.

Men selvom Ole Kjeldsen ikke kan garantere, at danske personoplysninger hos Microsoft ikke en dag ender i USA, så bruger mange danske organisationer fortsat tech-gigantens programmer, og det er ikke noget, man bare kan »trække stikket på«, lød det fra Datatilsynet på scenen.

Risiko er »next to nothing«

Selvom der er en risiko for, at Microsoft kan blive bedt om at udlevere data, og oplysningerne ender hos amerikanske efterretningstjenester, så er sandsynligheden, for at det sker, »next to nothing«, understreger Ole Kjeldsen flere gange:

»Når man kigger på tallene, er det ret tydeligt at se, at antallet af forespørgsler er, synes jeg, faktisk meget lavt i forhold til den internationale kriminalitet, vi ved, bliver efterforsket. Så sandsynligheden – men det er en subjektiv vurdering, man skal ind og lave – kan vurderes til at være ekstremt lille.«

Den subjektive vurdering ligger hos den dataansvarlige, fortæller Allan Frank. Ifølge Det Europæiske Databeskyttelsesråds vejledning til tredjelandsoverførsler, skal man nemlig undersøge, om eksempelvis amerikanske myndigheder nogensinde har interesseret sig for den type oplysninger, man vil sende til USA. Og hvis der aldrig har været en interesse, så kan man roligt sende persondataen afsted uden supplerende foranstaltninger.

Men kan myndighederne ikke anmode Microsoft om oplysninger med ‘gag order’, så virksomheden ikke må sige det til nogen? – lyder et spørgsmål fra moderatoren til Ole Kjeldsen.

Allan Frank, it-sikkerhedsspecialist og jurist ved Datatilsynet

Allan Frank, it-sikkerhedsspecialist og jurist ved Datatilsynet

Illustration: Københavns Universitet

»Har du læst den danske retsplejelov? Vi har den samme paragraf i dansk retsplejelov, for selvfølgelig er der brug for hemmeligholdelse engang imellem,« svarer direktøren og uddyber:

»Det giver sig selv – det findes i alle retsplejelovgivninger i den vestlige verden. Så jo – selvfølgelig har vi den slags og ærligt indrømmet: Amerikanerne havde i flere omgange det desværre som praksis – det kæmper vi absolut med.«

Virksomheden har dog sagsøgt den amerikanske regering flere gange for at overforbruge ‘gag order’, understreger han, og så har man fjernet den igen.

Dobbeltmoral i EU

Når der kommer en myndighedsanmodning ind gennem Microsofts hoveddør, kan tech-giganten ende med at sidde fastklemt som lus mellem to negle med amerikansk lovgivning på den ene side og GDPR på den anden side.

Microsoft lover, at man vil udfordre alle anmodninger, og så må dataansvarlige gøre op med sig selv, om man vil stole på det, ifølge Allan Frank fra Datatilsynet

»Der står simpelthen i artikel 28, at man ikke må overlade sin data til en databehandler, man ikke tror på efterlever lovgivningen.«

Han erkender også, at USA ikke er det eneste land, der er interesseret i den data, tech-giganterne opbevarer:

»Problemet er, at Ole har jo fuldstændig ret. Det er jo udtryk for en vis dobbeltmorale fra EU’s side, for der findes masser af EU-lande, der har lige så problematisk eller måske endnu mere problematisk og uigennemsigtige regler, end det der findes i USA,« påpeger juristen og uddyber:

»Det er bare sådan, at i forhold til EU-landene, der har man EU-Domstolen som den ultimative bagstopper til at redde vores røv – om man så må sige – hvis vi skulle komme i karambolage. Dem kan jeg desværre ikke rende til, hvis det er den amerikanske stat, der er gået galt i byen.«

I USA er der nemlig ikke de samme klagemuligheder for registrerede, og derfor er der forskel på, når EU-landes myndigheder anmoder Microsoft om oplysninger sammenlignet med eksempelvis NSA.

»Ole vil gerne tale, om ikke for sin syge moster, så for sit selskab. Desværre er det ikke nok i forhold til det, for retssubjektet skal have sine rettigheder i forhold til dem, der laver indgrebet. Og det er rigtig nok – man kan gøre noget by proxy…« lyder det fra Allan Frank, før Ole Kjeldsen indskyder fra den anden ende af debattørrækken:

»Det er det eneste, vi kan gøre.«

Som dataansvarlig skal man sørge for hele tiden at tjekke, om data siver ud af systemerne, og om der har været uautoriserede personer inde og kigge på oplysningerne, uddyber Allan Frank.

Hvis man finder ud af, at Microsoft – eller en anden databehandler, man bruger – har en praksis, der betyder, at man som dataansvarlig bryder med GDPR, så må man stoppe med at bruge tjenesterne, forklarer han.

Ingen cloud hos Statens It

Helle Uldbæk Sørensen, databeskyttelsesrådgiver hos Statens It

Helle Uldbæk Sørensen, databeskyttelsesrådgiver hos Statens It

Illustration: Statens It

Det har man gjort hos Statens It, hvor tredjelandsoverførsler og brugen af amerikansk cloud har fyldt meget på Helle Uldbæk Sørensens skrivebord.

»Vi har stor fokus på det. Vi varetager driften for nogle myndigheder, hvor dataen kunne være rigtig, rigtig interessant for fremmede magter. Det er med på radaren i alt, hvad vi laver – i alle de snakke vi har med leverandører, og det er det nødt til at være.«

Lige nu tilbyder man ikke kunderne at komme i skyen, heller ikke Microsofts cloud, og det er ofte en udfordring for DPO’en at forklare, hvorfor Statens It ikke tilbyder at levere tjenesten – især når kunden ringer til direktøren og presser på, siger hun:

»Det er en ongoing opgave, for der er ingen tvivl om, at det er jo ubetinget produkterne fra Microsoft, som der er størst efterspørgsel på i vores kundekreds. Danmark er et Microsoft-land, sådan er det bare,« siger hun.

Tech-gigantens produkter bruges bredt i Danmark, og selvom Statens It ikke kan tilbyde kunder at komme i skyen, så er der mange andre, der ikke nødvendigvis føler, de kan »trække stikket«, fortæller Allan Frank fra Datatilsynet.

Man kan ikke bare trække stikket

Microsoft kan ikke garantere, at data forbliver udenfor USA, men danske virksomheder, myndigheder og organisationer bruger stadig tech-gigantens cloud-tjeneste i stor stil.

Så debattens moderator retter blikket mod Allan Frank og spørger, om der ikke snart skal køres nogle sager på det her hos Datatilsynet?

Vil det ikke danne en retspraksis på området, og kan han love, at eksempelvis kommunerne ikke får bøder, imens de venter?

»Der kommer jeg lidt i det varme sæde her. Jeg kan ikke love noget som helst – jeg kan ikke love andet, end at verden er hård og uretfærdig. Det er nogenlunde der, vi er,« svarer juristen.

Men hvis man som dataansvarlig erkender overfor Datatilsynet, at man har et Schrems II-problem, og at man gerne vil fikse det, så er det måske ikke en bøde, man skal bekymre sig om:

»Hvor man nu har fået trukket tæppet væk under sig med den her Schrems II-afgørelse, og man kommer og siger til Datatilsynet: ‘Yes – vi har set, at det her er et problem. Vi arbejder på det. Vi prøver at fikse det på den her måde, og vi er bundet af syv kontrakter – vi kan ikke bare trække stikket, for så er der ikke noget NemID, eller en anden infrastrukturkomponent i kongeriget Danmark, der holder op med at virke,’« siger Allan Frank til publikum og uddyber:

»Det er måske ikke bøden, der er det relevante. Det er det, at man får en frist til at fikse det problem, man måtte være i besiddelse af. Det kunne være en bedre løsning også for Kongeriget Danmark, end at man begynder at kræve penge ind.«

Han peger også på, at det vil være hensigtsmæssigt for kommuner at gå sammen om de Schrems II-udfordringer, de oplever:

»Nu snakker du om kommunerne, og jeg synes ikke, at de er så ressourcefattige, som de nogle gange giver udtryk for i forhold til det her. Udgangspunktet er jo, at kommunerne har også et fællesskab,« fortæller han og tilføjer:

Anna Olga Aaskilde Laursen, CISO hos Region Hovedstaden

Anna Olga Aaskilde Laursen, CISO hos Region Hovedstaden

Illustration: Anna Olga Aaskilde Laursen

»Reglerne i GDPR lægger jo op til, at hvis man er sådan et fællesskab af nogen, der har samme problemstilling eller interesse, så findes der et værktøj, der hedder adfærdskodeks, og det synes jeg bestemt, at både kommunerne og regionerne og alle andre, der har ligestående og ligeartede interesser, kan bruge til at skabe én fælles standard i stedet for at skabe 98 forskellige standarder.«

Problemet er lovgivningen i USA

I Region Hovedstaden har man stor fokus på Schrems II, understreger CISO Anna Olga Aaskilde Laursen ved siden af Allan Frank. Hver gang man anvender en ny public cloud-baseret software, laver regionen en tredjelandsanalyse for at undersøge risikoen, den amerikanske lovgivning introducerer.

Den er stadig uændret, og derfor ville det også være virkelighedsfjernt, hvis Microsoft kunne garantere, at data aldrig nogensinde vil ende i USA, mener hun:

»Hvis Microsoft kunne garantere det, så ville det bare vise, at de sådan set ikke har forstået noget som helst af den risiko, som Schrems II-dommen introducerer. Det er ikke et spørgsmål om, hvad Microsoft som firma kan garantere, det er et spørgsmål om lovgivningen i USA. Og den er I ikke herre over, tænker jeg,« siger hun, gestikulerer mod Ole Kjeldsen og tilføjer:

»Jeg synes sådan set, det ville være dejligt og rart for alle, men det ville ikke hjælpe noget. Faktisk ville jeg blive bekymret, hvis det var, I synes, I kunne garantere det.«

Prøv DigiTech

Få 3 ugers gratis og uforpligtende prøveabonnement

Klik her