Seks måneder efter det europæiske Databeskyttelsesråd er kommet med deres anbefalinger som konsekvens af Schrems-II dommen, står kommunerne fortsat med sorteper. Hver kommune skal igennem lange tovtrækkerier med leverandører, som ufortrødent fortsætter brugen af amerikansk ejede cloudtjenester, til trods for, at der findes europæiske alternativer. Det handler om tillid til myndighederne og om skatteborgernes penge - og der er behov for en adfærdsændring hos leverandører og udviklingshuse, hvis vi skal beskytte begge dele.
Selv når man ikke regner de gamle registerlove med, har alle offentlige myndigheder og deres leverandører i over 20 år skullet overholde love om beskyttelse af borgernes data. Den gamle lov var Persondataloven fra 1999. I 2018 blev den afløst af Databeskyttelsesforordningen og GDPR. Udover styrkelsen af det såkaldte ansvarlighedsprincip var den væsentligste forskel på den gamle og den nye lov, at brud på loven også for myndighederne kunne medføre bøder, samt at hovedparten af de dataansvarlige skulle have en databeskyttelsesrådgiver. Hvorvidt og hvordan myndighederne må behandle data, er i store træk det samme som i 1999.
GDPR er grundlæggende et middel til at løfte Europa ind i den digitale fremtid - at forme rammerne for det indre digitale marked i EU. På overfladen kunne man fristes til at tro, at borgernes rettigheder til privatliv og beskyttelse er i vejen for den digitale fremtid. Men undersøgelser lavet i EU viser, at databeskyttelse er grundlaget for, at borgere i EU kan og vil aflevere (rigtige) data til behandling af offentlige og private dataansvarlige og databehandlere. Kort sagt: uden borgernes tillid, har myndighederne ingen valide borgerdata at skabe den nye digitale offentlige sektor med.
Schrems
I 2021 skete der dog noget nyt og – skulle det komme til at vise sig - meget væsentligt for de dele af den offentlige sektor, som behandler persondata. Den østrigske advokat og databeskyttelsesaktivist Max Schrems vandt en sag mod Facebook via det irske datatilsyn om, at de amerikanske love om statslig overvågning ikke var forenelig med den europæiske databeskyttelse.
The cullprit, som de siger ”over there”, er den amerikanske lovgivning om hemmelige domstole, der via ikke-offentliggjorte domme kan kræve data udleveret af amerikanske firmaer, uanset hvor i verden disse data er placeret – også selv om disse data er placeret i et datacenter i et EU-land. Tilmed uden at meddele udleveringen til hverken de registrerede eller den dataansvarlige.
Schrems-II dommen gav naturligvis anledning til en lang række overvejelser omkring mulighederne for supplerende tekniske beskyttelsesforanstaltninger for at opfylde kravene i de eksisterende vejledninger. Disse vejledninger angav, at placering af data i en amerikansk ejet cloudtjeneste ikke måtte ske uden supplerende tekniske foranstaltninger for at sikre beskyttelsen af persondata.
Dommen skabte som bekendt et vist røre i den offentlige danske andedam. Hvad skulle vi nu stille op med alle de mange løsninger og systemer, vi havde i Googles, Apples, Amazons, IBMs og Microsofts datacentre? Hvad skulle der ske med Office365, Google suite for education, Apple icloud, for ikke at nævne systemer for arbejdsmarked, omsorg og ESDH-systemer?
I kommunerne gik databeskyttelsesrådgiverne og GDPR-medarbejderne straks i gang med at sikre, at alle databehandleraftaler rummede de nødvendige informationer omkring sådanne supplerende tekniske beskyttelsesforanstaltninger. Det er ikke nogen lille opgave, og jeg tænker, at en dansk gennemsnitskommune indledningsvis har brugt i hvert fald et halvt årsværk på at løse denne opgave.
Seks måneder efter
Vi er nu seks måneder senere og efter det Europæiske Databeskyttelsesråds anbefalinger. Og sorteper er stadig i kommunerne. Alle har haft travlt med kortlægning af problemernes omfang og at udarbejde risikovurderinger, og få beskyttelsesforanstaltninger på plads, og få indskrevet det nødvendige i databehandleraftaler, opdateret deres fortegnelser og meget andet i en kompleks compliance-opgave. Det har været et kæmpe arbejde og har vel kostet kommunerne mange årsværk. Alligevel er vi endnu ikke på plads. Et af problemerne er, at vi fortsat kæmper med leverandører, der bygger løsninger direkte i de problematiske cloudtjenester - hvilket medfører store ressourcetræk i hver enkelt kommune.
Da effekterne af Schrems-II nu er godt kendt af alle i det offentlige digitale landskab, såvel kunder som leverandører, kan det undre, at vi som kunder forsat ser løsninger, der bygges og udbydes som fra før Schrems-II dommen. Senest er vi f.eks. blevet præsenteret for en gateway til FS3, en funktionalitet, der skal overføre sundhedsdata fra et omsorgssystem til den fælleskommunale analysefunktion, eller et analyseværktøj til indkøbsdata, som gerne vil læse alle fakturaer (bl.a. også med sundhedsdata).
Løsninger, der ukritisk er placeret på amerikansk ejede cloudtjenester og dermed umiddelbart i strid med Schrems-II dommen, medmindre der laves supplerende tekniske foranstaltninger. Supplerende foranstaltninger, som ikke bliver leveret som standardvare fra leverandørerne.
Kommunerne skal leve op til lovgivningen. Og kommunerne ønsker at leve op til lovgivningen, fordi vi ser det som en præmis for god myndighedsudøvelse, at borgerne skal kunne have tillid til vores behandling af deres data. Vores borgere skal kunne være trygge ved at overlade deres personoplysninger til os – og vide sig sikre på, at den amerikanske efterretningstjeneste ikke har adgang til at overvåge dem. I Europa har vi mange gode og fornuftige cloudtjenester, der ikke er ejet af amerikanske firmaer. Disse cloudtjenester er derfor ikke underlagt den amerikanske lovgivning og derfor sikre at benytte til persondata under GDPR.
Kære leverandører og udviklingshuse. Hver gang I vælger den samme amerikanske cloudleverandør, pålægger I jeres kunder i danske kommuner en stor arbejdsbyrde med at få undersøgt og håndteret de risici de medfører. Det kan være, at jeres udviklere sparer nogle timer ved at kunne lave en autodeployment til Amazon AWS, Microsoft Azure og lignende, men jeres kunder i kommunerne kommer hver og en til at bruge tid på de mange ekstraopgaver jeres anvendelse af usikre (læs amerikansk ejede) cloudtjenester medfører. Det kan endda være, at I som leverandører også ender med at bruge ekstra tid, når I skal svare på de mange spørgsmål fra kommunerne, lave juridiske udredninger og udvikle ekstra tekniske beskyttelsesforanstaltninger.
Det ville være langt mere konstruktivt, hvis ansvaret for GDPR kunne fordeles bedre. Kunne vi ikke blive enige om, at anvendelse af ”usikre tredjelande” bliver stoppet. USA er jo efter Schrems II dommen et ”usikkert tredjeland” i GDPR sammenhæng. Det vil betyde, at kommunerne kan lægge deres indsats tættere på den borgernære kommunale kerneopgave.
Derved sikrer vi, at borgerne kan have tillid til, at vi som offentlige organisationer tager godt vare på deres persondata. Borgernes tillid er grundlaget for, at de vil lade det offentlige behandle data om dem. Data er grundlaget for, at kommunerne og leverandørerne sammen kan bygge gode, sikre, tillidsfulde og lovlige offentlige digitale services.