Ender sporet blindt? Spørger it- og digitaliseringschef Henrik Brix, Favrskov Kommune, efter Schrems II dommen fra EU-domstolen og EDPB´s anbefalinger. Han skitserer fire muligheder for at kommunerne lovligt vil kunne overføre persondata til lande uden for EU, såkaldte tredjelande.
It- og digitaliseringschef Henrik Brix, Favrskov Kommune, mener, der - groft sagt - er fire veje, der peger frem mod en løsning, efter EU-domstolens Schrems II afgørelse 16. juli 2020 og de efterfølgende anbefalinger fra EDPB (det europæiske databeskyttelsesråd) den 12. november 2020. Ender de alle blindt?
Såvel dommen som anbefalingerne gør det særligt problematisk for amerikanske cloudleverandører at være databehandlere for danske kommuner, og for kommunerne at bruge dem som databehandlere. Det gælder sådan set også andre offentlige myndigheder og virksomheder, hvis der er tale om persondata. EU-dommen underkender den måde, der overføres persondata på mellem EU og USA, der efter dommen er blevet et ”usikkert tredjeland.”
Problemstillingen er, at de amerikanske techgiganter kan blive mødt med krav om fra amerikanske myndigheder at udlevere persondata om europæiske borgere, selv om dataene ligger på servere i EU.
Inden dommen brugte kommunerne og cloudleverandørerne overførselsgrundlaget ”Privacy Shield”. EU-dommen erklærer ”Privacy Shield” for ugyldigt. Det europæiske Databeskyttelsesråd anbefaler så knapt fire måneder efter dommen, en sekstrinmodel, som alle dataansvarlige i kommunerne skal opfylde for at kunne gennemføre dataoverførsler på et lovligt grundlag. En af opgaverne er, at den dataansvarlige i kommunen skal undersøge sikkerhedsniveauet i modtagerlandet. Bare den opgave (trin 3) er særdeles omfattende for en dansk kommune.
Og udover anbefalingerne, opregner EDPB en use case 6, der i realiteten ”dømmer amerikanske cloudserviceudbydere” ude. Det sætter danske kommuner i en klemme med hensyn til persondataoverførsler, da en del danske kommuner bruger – eller påtænker at bruge
– cloudservices.
Med det udgangspunkt forsøger Henrik Brix at give sit bud på, hvilke muligheder, danske dataansvarlige har for at leve op til lovgivningen efter Schrems II.
Henrik Brix ser fire muligheder:
Spor 1: EDPB anbefalingerne
Det hedder sig, at EDPB er ude af stand til at forestille sig en effektiv teknisk foranstaltning for at forhindre, at adgangen krænker den registreredes rettigheder, hvis databehandleren har brug for adgang til data i klar tekst. Og det har databehandleren såfremt de leverede services omfatter intelligente services, der forholder sig til data og ikke bare er en krypteret datalagring.
”For det første kan vi forsøge at bruge anbefalingerne fra EDPB. Bare det at skulle vurdere modtagerlandets lovgivning og afklare om det kan levere et niveau af sikkerhed for persondata, der matcher GDPR i EU, er en kæmpe opgave, som slet ikke bør ligge i kommunerne. Det virker ikke umiddelbart som en farbar vej.”
”Uanset om vi opfylder loven gennem den anbefalede sekstrinmodel fra EDPB, vil USA til enhver tid med deres FISA702-lovgivning kunne kræve udlevering af persondata fra amerikanske virksomheder, selv om disse virksomheders servere er placeret i et EU-land. Derfor skal der tekniske foranstaltninger til.”
”Use case 6 fra EDPB, som er særligt problematisk for amerikanske cloudleverandører, underkender, at data fra disse leverandører må optræde i klar tekst. Men hele pointen for kommunerne med at bruge cloudservises, er, at udbyderne kan forstå kommunernes data – det vil sige at kunne se dem i klar tekst. Eksempelvis at vores mails bliver sorteret automatisk af algoritmer kræver, at de kan se navne eller mailadresser for at kunne sortere dem. Hvis det skal være krypterede data, kan mails ikke sorteres, og så forsvinder gevinsten ved at bruge cloudservices. Sporet ender blindt. Det er en blind vej,” siger Henrik Brix.
To: nyt overførselsgrundlag
En anden mulighed er, om der kommer et nyt EU-overførsels- grundlag, som erstatning for Privacy Shield. EU-domstolens afgørelse om overførsel af persondata er faldet i to omgange. I 2015 med Schrems I – der underkendte Safe Harbour som overførselsgrundlag. I 2020, der underkendte Privacy Shield. Begge overførselsgrundlag er amerikanske standarder, benyttet af cloudservice udbydere som Google, Facebook, Twitter,
Amazon Web Services, Microsoft Office 365, Dropbox osv..
”Jeg ser det som usandsynligt, at EU imødekommer de amerikanske leverandørers overførselsgrundlag. EU har godkendt Standardkontraktbestemmelserne (SCC) med supplerende foranstaltninger. Det er den del, jeg kalder for vej et, og som ender blindt”.
Spor 3: ingen databehandling i tredjelande
En tredje vej er, at amerikanske cloudleverandører vil garantere i deres kontrakter, at de europæiske borgeres data, forbliver i Europa, og at der ikke sker dataoverførsler til usikre tredjelande som USA, Indien og Philippinerne for nu at nævne nogle.
”Det er ikke umiddelbart en garanti, man kan få fra de store cloududbydere. Microsoft Tyskland har tidligere haft en mulighed for at data ikke forlod landet, men det kostede en del ekstra, og ingen kunder ville betale for det - dengang. Og hvad nu – selv om vi fik garanti fra leverandørerne om at data ville blive i EU - ville de amerikanske myndigheder med amerikansk lovgivning så stadig kunne kræve data udleveret fra amerikansk ejede virksomheder der er placeret i Europa? Jeg ser det dog som det mest farbare spor, selv om det ikke er lige til,” siger Henrik Brix.
Spor 4: Træk data hjem
At trække data hjem og lade danske/europæisk-ejede centre drive det. Der er bare lige et problem; De fleste cloud-løsninger fra de store techgiganter kan ikke driftsafvikles på andre datacentre end techgiganternes egne. Dermed skal vi finde andre services, der uden tvivl i mange tilfælde er dårligere – og dyrere.
”Det er en fjerde mulighed, men det er samtidig en omkostningstung opgave, som ikke er lige for,” siger Henrik Brix.
Såvel dommen som anbefalingerne gør det særligt problematisk for amerikanske cloudleverandører at være databehandlere for danske kommuner, og for kommunerne at bruge dem som databehandlere. Det gælder sådan set også andre offentlige myndigheder og virksomheder, hvis der er tale om persondata. EU-dommen underkender den måde, der overføres persondata på mellem EU og USA, der efter dommen er blevet et ”usikkert tredjeland.”
Problemstillingen er, at de amerikanske techgiganter kan blive mødt med krav om fra amerikanske myndigheder at udlevere persondata om europæiske borgere, selv om dataene ligger på servere i EU.
Inden dommen brugte kommunerne og cloudleverandørerne overførselsgrundlaget ”Privacy Shield”. EU-dommen erklærer ”Privacy Shield” for ugyldigt. Det europæiske Databeskyttelsesråd anbefaler så knapt fire måneder efter dommen, en sekstrinmodel, som alle dataansvarlige i kommunerne skal opfylde for at kunne gennemføre dataoverførsler på et lovligt grundlag. En af opgaverne er, at den dataansvarlige i kommunen skal undersøge sikkerhedsniveauet i modtagerlandet. Bare den opgave (trin 3) er særdeles omfattende for en dansk kommune.
Og udover anbefalingerne, opregner EDPB en use case 6, der i realiteten ”dømmer amerikanske cloudserviceudbydere” ude. Det sætter danske kommuner i en klemme med hensyn til persondataoverførsler, da en del danske kommuner bruger – eller påtænker at bruge
– cloudservices.
Med det udgangspunkt forsøger Henrik Brix at give sit bud på, hvilke muligheder, danske dataansvarlige har for at leve op til lovgivningen efter Schrems II.
Henrik Brix ser fire muligheder:
Spor 1: EDPB anbefalingerne
Det hedder sig, at EDPB er ude af stand til at forestille sig en effektiv teknisk foranstaltning for at forhindre, at adgangen krænker den registreredes rettigheder, hvis databehandleren har brug for adgang til data i klar tekst. Og det har databehandleren såfremt de leverede services omfatter intelligente services, der forholder sig til data og ikke bare er en krypteret datalagring.
”For det første kan vi forsøge at bruge anbefalingerne fra EDPB. Bare det at skulle vurdere modtagerlandets lovgivning og afklare om det kan levere et niveau af sikkerhed for persondata, der matcher GDPR i EU, er en kæmpe opgave, som slet ikke bør ligge i kommunerne. Det virker ikke umiddelbart som en farbar vej.”
”Uanset om vi opfylder loven gennem den anbefalede sekstrinmodel fra EDPB, vil USA til enhver tid med deres FISA702-lovgivning kunne kræve udlevering af persondata fra amerikanske virksomheder, selv om disse virksomheders servere er placeret i et EU-land. Derfor skal der tekniske foranstaltninger til.”
”Use case 6 fra EDPB, som er særligt problematisk for amerikanske cloudleverandører, underkender, at data fra disse leverandører må optræde i klar tekst. Men hele pointen for kommunerne med at bruge cloudservises, er, at udbyderne kan forstå kommunernes data – det vil sige at kunne se dem i klar tekst. Eksempelvis at vores mails bliver sorteret automatisk af algoritmer kræver, at de kan se navne eller mailadresser for at kunne sortere dem. Hvis det skal være krypterede data, kan mails ikke sorteres, og så forsvinder gevinsten ved at bruge cloudservices. Sporet ender blindt. Det er en blind vej,” siger Henrik Brix.
To: nyt overførselsgrundlag
En anden mulighed er, om der kommer et nyt EU-overførsels- grundlag, som erstatning for Privacy Shield. EU-domstolens afgørelse om overførsel af persondata er faldet i to omgange. I 2015 med Schrems I – der underkendte Safe Harbour som overførselsgrundlag. I 2020, der underkendte Privacy Shield. Begge overførselsgrundlag er amerikanske standarder, benyttet af cloudservice udbydere som Google, Facebook, Twitter,
Amazon Web Services, Microsoft Office 365, Dropbox osv..
”Jeg ser det som usandsynligt, at EU imødekommer de amerikanske leverandørers overførselsgrundlag. EU har godkendt Standardkontraktbestemmelserne (SCC) med supplerende foranstaltninger. Det er den del, jeg kalder for vej et, og som ender blindt”.
Spor 3: ingen databehandling i tredjelande
En tredje vej er, at amerikanske cloudleverandører vil garantere i deres kontrakter, at de europæiske borgeres data, forbliver i Europa, og at der ikke sker dataoverførsler til usikre tredjelande som USA, Indien og Philippinerne for nu at nævne nogle.
”Det er ikke umiddelbart en garanti, man kan få fra de store cloududbydere. Microsoft Tyskland har tidligere haft en mulighed for at data ikke forlod landet, men det kostede en del ekstra, og ingen kunder ville betale for det - dengang. Og hvad nu – selv om vi fik garanti fra leverandørerne om at data ville blive i EU - ville de amerikanske myndigheder med amerikansk lovgivning så stadig kunne kræve data udleveret fra amerikansk ejede virksomheder der er placeret i Europa? Jeg ser det dog som det mest farbare spor, selv om det ikke er lige til,” siger Henrik Brix.
Spor 4: Træk data hjem
At trække data hjem og lade danske/europæisk-ejede centre drive det. Der er bare lige et problem; De fleste cloud-løsninger fra de store techgiganter kan ikke driftsafvikles på andre datacentre end techgiganternes egne. Dermed skal vi finde andre services, der uden tvivl i mange tilfælde er dårligere – og dyrere.
”Det er en fjerde mulighed, men det er samtidig en omkostningstung opgave, som ikke er lige for,” siger Henrik Brix.