Ny cloud-vejledning fra Datatilsynet presser Kombit og Aula-platformen

Ny cloud-vejledning fra Datatilsynet presser Kombit og Aula-platformen
Illustration: Kombit.
Datatilsynet har efter udsendelsen af sin nye cloud-vejledning svaret på spørgsmål fra KOMBIT om, hvad der skal ses som utilsigtede og tilsigtede persondataoverførsler til tredjelande – og svarene er ikke umiddelbart til KOMBIT’s fordel. 
25. april kl. 05:25

Da den nye cloud-vejledning fra Datatilsynet landede i marts, fik den det kommunale it-fællesskab KOMBIT til tasterne. 

Det længe ventede dokument skal hjælpe myndigheder og virksomheder med at finde hoved og hale i det cloud-kaos, der opstod i 2020, da EU-domstolen stemplede USA som et usikkert sted for europæiske persondata. Men vejledningens bemærkninger relateret til utilsigtede og tilsigtede dataoverførsler til usikre tredjelande - herunder USA -har fanget KOMBIT’s opmærksomhed i sådan en grad, at man har set sig nødsaget til at stille opklarende spørgsmål til tilsynet

Svaret er nu kommet, og det falder ikke ud til KOMBIT’s fordel. 

Få fuld adgang til DigiTech

DigiTech er målrettet professionelle, der arbejder med offentlige it- og digitaliseringsprojekter. Både på kunde- og leverandørsiden. Få tilsendt tilbud

Abonnementsfordele
vpn_key
Fuld adgang til DigiTech
Alt indhold på DigiTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
20
14. april kl. 01:32

Dårligt arbejde, Kombit og KL. Vi andre blev jo anset for narhoveder, når vi stillede os kritisk an over for overførsel af persondata til USA. Utroligt, at dataansvarlige stadig får lov til at fremstille sig selv som ofre. Typisk dansk.

16
13. april kl. 09:30

Men en ny vejledning fra datilsynet, har jo ikke ændret loven. Der er ikke noget der er blevet ulovligt, som ikke også var det før vejledningen. Der er ikke noget, der burde overraske kombit. Ud over at vi i det offentlige har mangel på IT faglige kompetencer og et overskud af jurister og administratorer der stadig er opdraget i en ånd fra enevældens tid.

// Jesper

14
13. april kl. 08:02

Kan nogen oversætte, hvad denne passage i Kombits privatlivspolitik betyder?

"Videregivelse og overladelse: Personoplysningerne i CRM-løsningen overlades og overføres til Microsoft. Overførslen af personoplysninger til Microsoft hviler på de såkaldte Standard Contractual Clauses. Personoplysningerne i vores metadatabase overlades til InfraTeam."https://kombit.dk/content/kombits-privatlivspolitik-test

"Overlades"? Hvad betyder det - sådan rent juridisk? I mine ører lyder "overladelse" som noget med at give ejerskab over, og selv slippe tøjlerne helt - men det kan da vel ikke være rigtigt?

Hvilke rettigheder får databehandlere over data i forbindelse med "Videregivelse"/"Overførsel"/"Overladelse"?

19
13. april kl. 23:27

Videregivelse, overladelse og intern deling - den skelnen eksisterer kun i dansk retspraksis. I GDPR betegnes de alle: "overførsel". Det er dog ikke en helt dum skelnen, da den tilføjer præcision: Overladelse er en overførsel til en databehandler, videregivelse er til en tredjepart.

15
13. april kl. 09:20

Det vigtigste i den her kontekst er at overlades med sikkerhed er databehandling.

// Jesper

13
13. april kl. 07:12

Godmorgen. Jeg bliver her til morgen mødt med denne tekst, når jeg forsøger at kommentere på dagens artikel om problemer med MITID-overgangen, https://www.version2.dk/artikel/sociale-medier-koger-mitid-er-en-katastrofal-brugeroplevelse .

"Debatten Din e-mail skal bekræftes inden du kan deltage i debatten."

Ingen yderligere forklaring om, hvor man skal bekræfte - intet åbenlyst krav om særabonnement. Jeg er logget ind på prøveabonnement, og kan jo altså godt kommentere her - men ikke der.

Er der nogen, der ved, hvad det drejer sig om, og hvor man bekræfter sin e-mail? Er det bare en fejl i forbindelse med lige den artikel, eller noget man er nødt til at forholde sig til? Jeg kan ikke lige finde et link til supporten (sikkert min fejl).

17
Udviklingsdirektør -
13. april kl. 12:05
Udviklingsdirektør

Hej Anne-Marie, der var en fejl på artiklen, så man ikke kunne kommentere. Det er fixet nu. Hvis det skulle blive nødvendigt en anden gang er mailen til support her: support@ing.dkMvh. Mette

18
13. april kl. 12:10

Tak for svar, Mette. Kan se, at det er fixet nu. Og supportadressen burde jeg måske have kunnet gætte mig til :-)

9
12. april kl. 13:38

Det at skifte it-systemer er ikke bare ligetil.

Det er ganske ligetil, hvis man beskriver sine systemer med FC. Openstack og skriver tests ttil sit IaC.

Mange undrede sig over de beslutninger om at AWS kunne støtte op om GDPR bedre end Microsoft.

Nu kommer det ikke overraskende frem at det kan de ikke. På trods af hvad de lovede. 🤷‍♂️

6
12. april kl. 11:42

»Det at skifte it-systemer er ikke bare ligetil. Det har store økonomiske og administrative konsekvenser, for hvis det bare var lige som at knipse med fingrene, og der var alternativer, som var lige så gode og lige så billige, så have alle jo gjort det

Sikken noget fis - Jeg må informere MANGE store kunder, om at de priser de betaler for deres cpu tunge opgaver hos AWS, Azure mv. - koster 1/10 af den pris, hvis man lejer servere hos Hetzner med tilsvarende specs.. Så det kan sagtens gøres billigere. Du kan sågar lave auto-scaling hos hetzner (også automatiseret - det er bare ikke så udbredt, så man skal selv finde de rette terraform moduler for at gøre det) - og ellers ved jeg at mit firma meget gerne vil udvikle et Kubernetes autoscaler modul (eller plugin til eksisterende) - der bruger de moduler Hetzner har frigivet, til at anvende Hetzner cloud api - og lave autoscaling.

Man kan helt sikkert meget af det samme hos andre europæiske cloud providere - men det hører man bare ikke så meget om desværre.

21
19. april kl. 07:18

hej Klavs. hvor arbejder du og kan du evt uddybe det med prisen, for det er super essentielt da det netop er det argument som det off bruger når de skal forsvare deres brug af AWS (som selv om det var lovligt at bruge, nok kan karanteriseres som uetisk at bruge). et andet argument er at AWS har så mange gode apps/services.... skriv evt til mig på pernille@dataethics.eu

5
12. april kl. 11:11

Det er helt åbenlyst at selvfølgeligt må man ikke indgå en kontrakt, hvor overlevering af data umiddelbart kan initieres af udenforstående myndigheder.

Kom nu bare igang med få flyttet vores data i sikkerhed!

Det er simpelthen pinligt som KL og Kombit udstiller deres inkompetence.

Og det er virkeligt frastødende, som Pernille Jørgensen bilder sig ind at hun kan tale på alles vegne.

4
12. april kl. 07:30

Sorry - der gik jeg i fælden igen. Umiddelbart forsvandt første kommentar sporløst op i clouden - men det gjorde den så åbenbart alligevel ikke....

3
12. april kl. 07:29

PS: Hvornår hører vi nyt om Sundhedsplatformen? For der er det jo for længst kommet frem, at man lystigt sender data over atlanten til support. Eller er man holdet op med det?

2
12. april kl. 07:27

PS: Hvornår hører vi nyt om, hvordan Sundhedsplatformen vil klare denne misere? For der er det jo for længst kommet frem, at man lystigt sender vore data over atlanten, i hvert fald til support. Eller er man holdt helt op med det?

1
12. april kl. 07:25

"I sit spørgsmål til tilsynet vil KOMBIT nemlig have at vide, om overførsel af persondata til et tredjeland nogensinde kan karakteriseres som utilsigtet, hvis der i standardkontrakten med en leverandør er angivet nogle undtagelser, hvor den slags overførsler kan finde sted. Hvis det er nødvendigt for levering af visse specifikke AWS services valgt af servicebrugeren. Hvis det er nødvendigt for at overholde lovgivning eller bindende myndigheds anmodninger."

Helt ærligt - er det ikke et dumt spørgsmål? Fremgår det ikke tydeligt, at der er tale om services, som servicebrugeren direkte har valgt? Hvordan skulle det kunne være "utilsigtet" - det ville jo kunne omfatte stort set alt? Og hvordan vil det kunne være utilsigtet, hvis man på forhånd ved, at det kan være nødvendigt, i visse, særlige tilfælde, at overlevere data til myndigheder, og udtrykkeligt accepterer dette?

"KOMBIT - og dermed andre myndigheder og firmaer, der bruger AWS eller lignende tjeneter - kan altså ikke gemme sig bag, at man ellers i videst mulig udstrækning har forsøgt at sikre sig mod overførsler, for eksempel ved at kræve, at data bliver bevaret i EU."

Nej, for det har man jo ikke - det er det sædvanlige spin:

  1. Man har selv skabt en kæmpe kattelem for "levering af specifikke AWS services valgt at servicebrugeren".
  2. Man har accepteret, at fremmede myndigheder kan kræve data udleveret. Hvad hvis amerikanerne vedtog en lov, som simpelthen krævede alle europæiske data udleveret? Kan man ikke fatte, at man ved den nævnte formulering jo direkte underlægger danske data amerikansk lov?

Man får indtryk af, at alle jurister i hele den offentlige sektor lige nu er beskæftiget med at gøre tech-giganternes beskidte arbejde med at finde eller formulere kattelemme og smuthuller, som kan bruges til at undergrave GDPR. De burde i stedet være i gang med at finde løsninger, som krævede, at tech-giganterne underkaster sig dansk/europæisk lovgivning, i stedet for omvendt. Hvilket vel dybest set er umuligt, da der her er en konflikt mellem dansk/europæiske lovgivning og amerikansk lovgivning.

Det er fuldstændigt som det, Zuboff beskriver: Hvordan tech-gigangterne simpelthen gang på gang løber stormløb på lovgivningens grænser, som desværre hele tiden er bagud for de enorme problemstillinger, digitaliseringen skaber. Når de så støder på modstand, foretager de planmæssig, forudset tilbagetrækning i en periode, mens de arbejder på næste fremstød for at prøve nye smuthuller af. Og nu er vore offentligt betalte offentlige jurister så i gang med at gøre giganternes beskidte arbejde med at finde smuthullerne til erobring af retten til at stjæle andre menneskers privatliv - de behøver ikke en gang at gøre det selv, selv om de har nogen af verdens dygtigste og højest betalte jurister (men mit gæt er, at de er særdeles behjælpelige i kulisserne med at hjælpe Kombit og andre med at formulere Kombits og andres nye forsøg på at omgå GDPR).

Det er grove løjer! Topembedsmænd agerer 5. kolonne/trojanske heste for fremmende (private) magter, som arbejder målrettet på at overtage magten over privatlivet og beslutningsprocesserne i kulisserne - og noget kan tyde på, at de allerede er tæt på at have den, siden det er så svært for Danmark at sætte foden ned.

Det kunne være interessant med en liste over, hvor mange offentlige topfolk/embedsfolk, som har benyttet svingdøren til tech-giganterne de seneste 10 år.

7
12. april kl. 13:25

Man har accepteret, at fremmede myndigheder kan kræve data udleveret. Hvad hvis amerikanerne vedtog en lov, som simpelthen krævede alle europæiske data udleveret? Kan man ikke fatte, at man ved den nævnte formulering jo direkte underlægger danske data amerikansk lov?

Faktisk anerkender EU tredjelande som har en GDPR kompatibel lovgivning selvom disse lande til enhver tid kunne ændre lovgivning til noget der ikke er GDPR kompatibelt. Så pragmatisk er man trods alt. Problemet med USA er at de allerede har vedtaget en lov i stil med det citerede og dermed eksplicit ikke er GDPR kompatible. Amerikanerne er ikke villige til at ændre deres lovgivning fordi de har lang tradition for at dele mennesker op i to kategorier: amerikanske statsborgere og "de andre". Sidstnævnte gruppe har ingen rettigheder og man er ikke villige til at give europæerne, eller nogen, samme rettigheder som amerikanske statsborgere.

8
12. april kl. 13:34

Faktisk anerkender EU tredjelande som har en GDPR kompatibel lovgivning selvom disse lande til enhver tid kunne ændre lovgivning til noget der ikke er GDPR kompatibelt.

Ok - gad vide, hvor lang tid, der så går, inden nogen udnytter det?

Men som jeg læser Kombits forsøg på en kontrakt, så bøjer man sig simpelthen for amerikanernes lovgivning, og accepterer, at vi som ikke-amerikanere har færre rettigheder end amerikanere ift. vore egne data. Det er da et knæfald, der vil noget.

11
12. april kl. 20:31

lige en korrektion: vi har ikke færre rettigheder end amerikanerne Vi er ligestillede, den amerikanske lovgivning tilsiger udlevering af data uanset ophav

12
12. april kl. 23:41

lige en korrektion: vi har ikke færre rettigheder end amerikanerne Vi er ligestillede, den amerikanske lovgivning tilsiger udlevering af data uanset ophav

Det er ikke korrekt. Amerikanere har rettigheder der beskytter dem imod aflytning uden dommerkendelse med mere. Der er frit spil for at spionere imod udlændinge. Det siges at efterretningstjenesterne bytter statsborgere, så eksempelvis amerikanerne kan bede briterne om oplysninger om amerikanske statsborgere, som amerikanerne ikke selv må indhente.