Lige nu pågår forhandlinger mellem EU-Kommissionen og USA om et nyt overførselsgrundlag af persondata, som ville, hvis forhandlingerne lykkes, kunne sikre danske kommuner at bruge amerikansk ejede cloudleverandører til deres services.
Siden EU-domstolens Schrems II afgørelse af 16. juli 2020 har kommunernes anvendelse af amerikanske leverandørers cloudløsninger været udfordret. I november 2020 – og senest i juni 2021 – kom EDPB (det Europæiske Databeskyttelsesråd) med vejledning, der ikke hjalp kommunerne ret meget i praksis. Men nu har Datatilsynet skrevet et vejledningsudkast om cloud, som fortolker EDPB´s vejledning. Med KLs øjne er det rigtigt positivt, og chefkonsulent, jurist Pernille Jørgensen, Digitalisering og Teknologi, KL, peger på, at der netop er behov for konkrete, autoritative udmeldinger om, hvad Schrems II-dommen betyder for kommunernes muligheder for at anvende amerikanske cloud-leverandører.
Vejledningsudkastet fra Datatilsynet, som gennemgår de vigtige dele af EDPB´s vejledning, beskriver bl.a. hvordan det vil være muligt at overføre personlige data til USA, som efterretningstjenesten i USA ikke har interesser i at se. ”Nu mangler vi bare at få en liste over, hvad det så er for nogle data, som ikke er interessante for den amerikanske efterretningstjeneste. Det håber vi kommer med i den endelige vejledning fra Datatilsynet. Så vi kan se, om kommunerne reelt kan bruge denne ”kattelem” til noget”, udtaler Pernille Jørgensen.
Danske kommuner har i praksis været udfordret om overførsel af persondata til usikre tredjelande. Da USA efter EU-domstolens afgørelse i juli 2020 er at opfatte som et usikkert tredjeland, har det givet danske kommuner hovedbrud, da de altovervejende bruger amerikanske leverandører til cloudløsninger.
EU-domstolens afgørelse fra 2020 underkender det eksisterende dataoverførselsgrundlag til usikre tredjelande – og har kategoriseret USA som et usikkert tredjeland. Det er ikke fordi danske kommuner sender personlige data over Atlanten, men når der ydes support ”udenfor lukketid” vil den amerikanske leverandør af it-løsningen følge solen døgnet rundt og yde supporten fra et land, hvor der er åbent. Når en supporter i et tredjeland kigger på en mail med personfølsomme oplysninger, er der ifølge EU-domstolen tale om en dataoverførsel.
FISA 702
Det andet problem er, at amerikansk lovgivning tillader amerikanske efterretningstjenester og domstole at få udleveret data fra amerikanske leverandører, ifølge FISA 702. Den særlige lovgivning, FISA 702 tillader, at de kan få udleveret data fra cloudleverandøren og tjekke mails og andre følsomme oplysninger hos europæiske borgere eller borgere fra andre lande som er bosiddende i Europa. Det betyder, at selv om data er placeret på servere i Europa, har amerikanske efterretningstjenester og myndigheder kunnet kræve data udleveret hos amerikanske leverandører.
Datatilsynets nye vejledning tager dette emne op. Det er KL rigtigt glade for. ”Vi har behov for klar vejledning om, hvordan kommunerne skal forholde sig til leverandørernes lovord om, at data ikke vil blive udleveret til de amerikanske myndigheder. Er det godt nok med lovord, eller hvilke krav skal kommunerne stille til leverandørerne? Det håber vi, den endelige cloud-vejledning giver klart svar på,” siger Pernille Jørgensen.
Der er fortsat intense forhandlinger i gang imellem EU-Kommissionen og de amerikanske myndigheder for at få aftalt et nyt overførselsgrundlag, der kan lovliggøre dataoverførsler til USA og brug af amerikanske leverandører. Begge parter er interesseret i at løse problemerne, så danske kommuner fortsat kan bruge amerikanske leverandører. De amerikanske leverandører har de seneste år oprettet eller er ved at oprette datacentre i Danmark, Facebook, Apple, Google og Microsoft – for nu at nævne de største. Men at amerikanske datacentre placeres i Danmark, og at data placeres i Danmark, er ingen garanti mod FISA 702, da det er det amerikanske ejerskab til disse virksomheder, der vejer tungest.
KL ser frem til at se, hvordan at se den endelige cloud-vejledning fra Datatilsynet kan hjælpe kommunerne med denne svære sag.
Pernille Jørgensen: ”Når vi har meldingerne ”sort på hvidt”, vil vi kunne rådgive kommunerne yderligere. Lige nu ved vi ikke, hvornår Datatilsynet offentliggør den endelige vejledning, og vi ved heller ikke, hvornår forhandlingerne mellem USA og EU-Kommissionen om et nyt overførselsgrundlag er på plads. Forhandlingerne er fortrolige, så vi kender ikke status”.