Det var virkelig en god nyhed, der tikkede ind fra EU-Kommissionen den 10. juli, hvor EU-Kommissionens formand Ursula von der Leyen og præsident Joe Biden, USA, bekendtgjorde, at der er opnået enighed om et nyt dataoverførselsgrundlag mellem EU og de foreløbigt 2500 certificerede amerikanske virksomheder. Det åbner et nyt perspektiv for kommunale it-chefer med hensyn til yderligere anvendelse af amerikanske leverandørers cloudløsninger.
Jeg har flere gange på denne plads skrevet, at EU-domstolens to Schrems afgørelser i 2015, og i 2020, underkendte de daværende dataoverførselsgrundlag. Det handler om overførsel af persondata mellem EU og USA, som er relevant for kommuner, når der anvendes it-løsninger der anvender eller bygger på cloudløsninger fra amerikanske virksomheder.
Derfor er det en glædelig nyhed, at der tre år efter Schrems II dommen i 2020, er kommet en løsning på dette. I hvert fald her og nu. Det nye Databeskyttelsesramme fra USA´s præsident Joe Biden, er godkendt af EU-Kommissionen som ækvivalent med GDPR – den europæiske databeskyttelsesforordning. EU-Kommissionens har truffet en såkaldt tilstrækkelighedsafgørelse for EU-U.S. Data Privacy Framework, som det nye rammeværk hedder.
USA er ifølge Artikel 45 i GDPR fortsat et usikkert tredjeland. Men 2500 amerikanske virksomheder er allerede certificeret efter den nye amerikanske databeskyttelsesramme. De store kendte amerikanske techvirksomheder er alle certificeret efter den nye ramme, og derfor bliver det lovligt for kommuner at overføre sager med personlige data til disse virksomheder – og få service og support.
Ingen roser uden torne
Der er stadig et stykke arbejde for os. Fx skal vi være opmærksomme på, om den amerikanske databehandler gør brug af underdatabehandlere, som ikke fremgår af 'Data Privacy Framework List'. I så fald vil vi skulle etablere et nyt overførselsgrundlag og eventuelt fastsætte supplerende foranstaltninger.
Samtidig med den nye aftale er der kommet en række indvendinger. En af dem kommer fra Max Schrems som bebuder, at han vil lægge en ny sag ved EU-domstolen, fordi overvågningen af europæiske borgere via de amerikanske efterretningstjenester (FISA 702) slet ikke er med i den nye aftale mellem EU og USA.
Digitalisering og brug af data samt beskyttelse af personoplysninger er blevet et varmt politisk emne. KL har lige lanceret en ny cyber- og informationsstrategi, der som målsætning, ønsker at kommunerne bliver en del af det samlede danske cyberforsvar. Hver fjerde kommune oplever 200 forsøg på hackerangreb dagligt, og det er vigtigt, at kommunerne ikke bliver det svage led i nationens cyberforsvar.
KL foreslår, at KOMBIT kommer ind og får en væsentlig rolle på cyber- og sikkerhedsområdet. Det bakker jeg helt op om. Dels mener jeg, det er oplagt at kommunerne samarbejder så meget som muligt på cybersikkerhedsområdet. Dels kan jeg ikke se et bedre sted at lægge opgaven. KOMBIT har stor og god erfaring med at facilitere/levere it-ydelser til alle 98 kommuner.
KOMBIT har også fremlagt en ny strategi. Den bryder med princippet om at levere fagsystemer til “kantstenen”. En hel del kommuner efterlyser støtte til “implementering” af disse løsninger og dem skal vi kunne servicere, siger direktør Kristian Vengsgaaard.
Fortsat god sommer.